Re utloa poleloana e reng “tšireletseho ea naha” ka linako tsohle, empa ha ’muso o qala ho beha likhokahano leihlo leihlo, o li rekota ntle le pelaelo e ka tšeptjoang, motheo oa molao le ntle le morero o bonahalang, re tlameha ho ipotsa potso ena: na ehlile li sireletsa tšireletso ea naha kapa? na ba sireletsa tsa bona?
- Edward Snowden
Tšimoloho ena e reretsoe ho eketsa thahasello ea Sechaba tabeng ea boinotši, eo, ho latela diketsahalo tsa moraorao e ba ea bohlokoa ho feta leha e le neng pele.
Lenaneng:
Batho ba chesehelang sechaba sa "Medium" ba fanang ka marang-rang ba ikemetseng ba iketsetsa mochine oa ho batla
Medium e thehile lefapha le lecha la setifikeiti, Medium Global Root CA. Ke bo-mang ba tla angoa ke liphetoho tsee?
Setifikeiti sa ts'ireletso bakeng sa ntlo e 'ngoe le e 'ngoe - mokhoa oa ho iketsetsa ts'ebeletso ho marang-rang a Yggdrasil le ho fana ka setifikeiti sa SSL se nepahetseng bakeng sa eona
Nkhopotse - "Medium" ke eng?
Medium (Eng. Medium - "mokena-lipakeng", lepetjo la pele - Se ke oa botsa lekunutu la hau. E khutlise; hape ka Senyesemane lentsoe mahareng e bolela "bohareng") - mofani oa marang-rang oa Russia ea fanang ka lits'ebeletso tsa phihlello ea marang-rang Yggdrasil mahala.
E thehiloe ka Mmesa 2019 e le karolo ea ho theha tikoloho e ikemetseng ea likhokahano ka ho fa basebelisi monyetla oa ho fumana lisebelisoa tsa marang-rang tsa Yggdrasil ka ts'ebeliso ea theknoloji ea phetisetso ea data e se nang mohala ea Wi-Fi.
Batho ba chesehelang sechaba sa "Medium" ba fanang ka marang-rang ba ikemetseng ba iketsetsa mochine oa ho batla
Qalong inthaneteng Yggdrasil, eo mofani oa litšebeletso tsa Inthanete ea arotsoeng Medium a e sebelisang e le lipalangoang, e ne e se na seva sa eona sa DNS kapa lisebelisoa tsa bohlokoa tsa sechaba - leha ho le joalo, tlhokahalo ea ho fana ka mangolo a tšireletso bakeng sa litšebeletso tsa Medium network e rarollotse mathata ana a mabeli.
Hobaneng o hloka PKI haeba Yggdrasil ka ntle ho lebokose e fana ka bokhoni ba ho patala sephethephethe lipakeng tsa lithaka?Ha ho na lebaka la ho sebelisa HTTPS ho hokela lits'ebeletso tsa marang-rang marang-rang a Yggdrasil haeba u hokela ho tsona ka router ea marang-rang ea Yggdrasil e sebetsang sebakeng sa heno.
Ehlile: Lipalangoang tsa Yggdrasil li maemong melaoana e o lumella ho sebelisa lisebelisoa ka polokeho ka har'a marang-rang a Yggdrasil - bokhoni ba ho tsamaisa Litlhaselo tsa MITM ntle ka ho felletseng.
Boemo bo fetoha haholo haeba o fihlella lisebelisoa tsa intranet tsa Yggdarsil eseng ka kotloloho, empa ka node e bohareng - sebaka sa phihlello sa marang-rang se Medium, se tsamaisoang ke opareitara ea sona.
Tabeng ena, ke mang ea ka senyang data eo o e fetisang:
Mokhanni oa sebaka sa ho kena. Ho totobetse hore mosebeletsi oa hona joale oa sebaka sa Medium network access a ka mamela sephethephethe se sa ngolisoang se fetang thepa ea sona.
u etsa qeto ea: ho fihlella lits'ebeletso tsa marang-rang ka har'a marang-rang a Yggdrasil, sebelisa protocol ea HTTPS (boemo ba 7 Mefuta ea OSI). Bothata ke hore ha ho khonehe ho fana ka setifikeiti sa 'nete sa ts'ireletso bakeng sa lits'ebeletso tsa marang-rang tsa Yggdrasil ka mekhoa e tloaelehileng joalo ka A re ke re kenye.
Ka hona, re thehile setsi sa rona sa setifikeiti - "Medium Global Root CA". Boholo ba lits'ebeletso tsa marang-rang a Medium li saennoe ke setifikeiti sa ts'ireletso sa motso sa bolaoli ba mahareng ba setifikeiti sa Medium Domain Validation Secure Server CA.
Monyetla oa ho sekisetsa setifikeiti sa motso oa bolaoli ba setifikeiti e ne e le hantle, ho nahanoa - empa mona setifikeiti se hlokahala ho feta ho tiisa botšepehi ba phetiso ea data le ho felisa monyetla oa litlhaselo tsa MITM.
Litšebeletso tsa marang-rang tse mahareng tse tsoang ho basebelisi ba fapaneng li na le litifikeiti tse fapaneng tsa ts'ireletso, ka tsela e 'ngoe kapa tse ling tse saennoeng ke bolaoli ba setifikeiti sa metso. Leha ho le joalo, basebetsi ba Root CA ha ba khone ho mamela sephethephethe se patiloeng ho tsoa lits'ebeletso tseo ba saenneng litifikeiti tsa ts'ireletso ho tsona (bona "CSR ke eng?").
Ba amehileng haholo ka polokeho ea bona ba ka sebelisa mekhoa e joalo e le tšireletso e eketsehileng, joalo ka PGP и tshoanang.
Hona joale, lisebelisoa tsa bohlokoa tsa sechaba tsa marang-rang a Medium li na le bokhoni ba ho hlahloba boemo ba setifikeiti se sebelisang protocol OCSP kapa ka tshebediso C.R.L..
Fumana ntlha
Sebedisa @NXShock o ile a qala ho theha enjine ea ho batla lits'ebeletso tsa webo tse fumanehang marang-rang a Yggdrasil. Ntlha ea bohlokoa ke taba ea hore boikemisetso ba liaterese tsa IPv6 tsa lits'ebeletso ha u etsa lipatlisiso bo etsoa ka ho romela kopo ho seva sa DNS se ka hare ho marang-rang a Medium.
TLD e kholo ke .ygg. Mabitso a mangata a domain a na le TLD ena, ntle le mekhelo e 'meli: .isp и .gg.
Enjene ea ho batla e ntse e tsoela pele, empa ts'ebeliso ea eona e se e ntse e khoneha kajeno - etela sebaka sa marang-rang feela batla.medium.isp.
Medium e thehile lefapha le lecha la setifikeiti, Medium Global Root CA. Ke bo-mang ba tla angoa ke liphetoho tsee?
Maobane, tlhahlobo ea sechaba ea ts'ebetso ea setsi sa setifikeiti sa Medium Root CA e phethetsoe. Qetellong ea tlhahlobo, liphoso tsa ts'ebetso ea lits'ebeletso tsa mantlha tsa mantlha tsa sechaba li ile tsa lokisoa mme setifikeiti se secha sa motso sa bolaoli ba setifikeiti "Medium Global Root CA" se ile sa theoa.
Lintlha tsohle le likarolo tsa PKI li ile tsa hlokomeloa - joale setifikeiti se secha sa CA "Medium Global Root CA" se tla fanoa lilemo tse leshome hamorao (kamora letsatsi la ho felloa ke nako). Hona joale litifikeiti tsa tšireletso li fanoa feela ke balaoli ba mahareng ba setifikeiti - mohlala, "Medium Domain Validation Secure Server CA".
Setifikeiti sa trust chain se shebahala joang hona joale?
Ke eng e lokelang ho etsoa hore ntho e 'ngoe le e' ngoe e sebetse haeba u mosebedisi:
Kaha lits'ebeletso tse ling li sebelisa HSTS, pele u sebelisa lisebelisoa tsa marang-rang a Medium, u tlameha ho hlakola data ho tsoa mehloling ea Medium intranet. U ka etsa sena ho "Histori" tab ya sebatli sa hau.
Seo u lokelang ho se etsa ho etsa hore ntho e 'ngoe le e' ngoe e sebetse haeba u le motsamaisi oa tsamaiso:
U hloka ho fana ka setifikeiti hape bakeng sa ts'ebeletso ea hau leqepheng pki.medium.isp (tšebeletso e fumaneha feela marang-rang a Medium).
Setifikeiti sa ts'ireletso bakeng sa ntlo e 'ngoe le e 'ngoe - mokhoa oa ho iketsetsa ts'ebeletso ho marang-rang a Yggdrasil le ho fana ka setifikeiti sa SSL se nepahetseng bakeng sa eona
Ka lebaka la kholo ea palo ea lits'ebeletso tsa intranet ho marang-rang a Medium, tlhokahalo ea ho fana ka mangolo a macha a tšireletso le ho lokisa litšebeletso tsa bona e le hore ba tšehetse SSL e eketsehile.
Kaha Habr ke sesebelisoa sa tekheniki, nthong e 'ngoe le e' ngoe e ncha ea ho cheka e 'ngoe ea lintho tsa ajenda e tla senola likarolo tsa tekheniki tsa metheo ea Medium network. Mohlala, ka tlase ke litaelo tse felletseng tsa ho fana ka setifikeiti sa SSL bakeng sa ts'ebeletso ea hau.
Mehlala e tla bontša domain name domain.ygg, e tlamehang ho nkeloa sebaka ke domain name ea tšebeletso ea hau.
Mohato 1. Hlahisa linotlolo tsa poraefete le liparamente tsa Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Mohato 3. Kenya kopo ea setifikeiti
Ho etsa sena, kopitsa litaba tsa faele domain.ygg.csr ebe u e beha sebakeng sa mongolo setšeng pki.medium.isp.
Latela litaelo tse fanoeng webosaeteng, ebe o tobetsa "Submit". Haeba ho atlehile, molaetsa o tla romelloa atereseng ea lengolo-tsoibila eo u e boletseng e nang le sehokelo ka mokhoa oa setifikeiti se saennoeng ke bolaoli ba mahareng ba setifikeiti.
Mohato 4. Hlophisa seva sa hau sa marang-rang
Haeba u sebelisa nginx joalo ka seva sa hau sa marang-rang, sebelisa tlhophiso e latelang:
Setifikeiti seo u se fumaneng ka lengolo-tsoibila se tlameha ho kopitsoa ho: /etc/ssl/certs/domain.ygg.crt. Senotlolo sa lekunutu (domain.ygg.key) e behe bukeng /etc/ssl/private/.
Mohato 5. Qala seva sa hau sa marang-rang bocha
sudo service nginx restart
Marang-rang a mahala Russia a qala ka uena
U ka fana ka thuso eohle e ka khonehang ho theha Marang-rang a mahala Russia kajeno. Re hlophisitse lethathamo le felletseng la hore na u ka thusa marang-rang joang:
Bolella metsoalle ea hau le basebetsi-'moho ka marang-rang a Medium. Arolelana ho buoa ho sengoloa sena ho marang-rang a sechaba kapa blog ea motho
Nka karolo lipuisanong tsa litaba tsa tekheniki ho marang-rang a Medium ho GitHub