Re utloa poleloana e reng “tšireletseho ea naha” ka linako tsohle, empa ha ’muso o qala ho beha likhokahano leihlo leihlo, o li rekota ntle le pelaelo e ka tšeptjoang, motheo oa molao le ntle le morero o bonahalang, re tlameha ho ipotsa potso ena: na ehlile li sireletsa tšireletso ea naha kapa? na ba sireletsa tsa bona?
- Edward Snowden
Tšimoloho ena e reretsoe ho eketsa thahasello ea Sechaba tabeng ea boinotši, eo, ho latela e ba ea bohlokoa ho feta leha e le neng pele.
Lenaneng:
Batho ba chesehelang sechaba sa "Medium" ba fanang ka marang-rang ba ikemetseng ba iketsetsa mochine oa ho batla
Medium e thehile lefapha le lecha la setifikeiti, Medium Global Root CA. Ke bo-mang ba tla angoa ke liphetoho tsee?
Setifikeiti sa ts'ireletso bakeng sa ntlo e 'ngoe le e 'ngoe - mokhoa oa ho iketsetsa ts'ebeletso ho marang-rang a Yggdrasil le ho fana ka setifikeiti sa SSL se nepahetseng bakeng sa eona
Nkhopotse - "Medium" ke eng?
Medium (Eng. Medium - "mokena-lipakeng", lepetjo la pele - Se ke oa botsa lekunutu la hau. E khutlise; hape ka Senyesemane lentsoe mahareng e bolela "bohareng") - mofani oa marang-rang oa Russia ea fanang ka lits'ebeletso tsa phihlello ea marang-rang mahala.
Lebitso le felletseng: Mofani oa Litšebeletso tsa Marang-rang tsa Marang-rang. Qalong morero o ile oa emoloa e le в .
E thehiloe ka Mmesa 2019 e le karolo ea ho theha tikoloho e ikemetseng ea likhokahano ka ho fa basebelisi monyetla oa ho fumana lisebelisoa tsa marang-rang tsa Yggdrasil ka ts'ebeliso ea theknoloji ea phetisetso ea data e se nang mohala ea Wi-Fi.
Lintlha tse ling mabapi le sehlooho:
Batho ba chesehelang sechaba sa "Medium" ba fanang ka marang-rang ba ikemetseng ba iketsetsa mochine oa ho batla
Qalong inthaneteng , eo mofani oa litšebeletso tsa Inthanete ea arotsoeng Medium a e sebelisang e le lipalangoang, e ne e se na seva sa eona sa DNS kapa lisebelisoa tsa bohlokoa tsa sechaba - leha ho le joalo, tlhokahalo ea ho fana ka mangolo a tšireletso bakeng sa litšebeletso tsa Medium network e rarollotse mathata ana a mabeli.
Hobaneng o hloka PKI haeba Yggdrasil ka ntle ho lebokose e fana ka bokhoni ba ho patala sephethephethe lipakeng tsa lithaka?Ha ho na lebaka la ho sebelisa HTTPS ho hokela lits'ebeletso tsa marang-rang marang-rang a Yggdrasil haeba u hokela ho tsona ka router ea marang-rang ea Yggdrasil e sebetsang sebakeng sa heno.
Ehlile: Lipalangoang tsa Yggdrasil li maemong e o lumella ho sebelisa lisebelisoa ka polokeho ka har'a marang-rang a Yggdrasil - bokhoni ba ho tsamaisa ntle ka ho felletseng.
Boemo bo fetoha haholo haeba o fihlella lisebelisoa tsa intranet tsa Yggdarsil eseng ka kotloloho, empa ka node e bohareng - sebaka sa phihlello sa marang-rang se Medium, se tsamaisoang ke opareitara ea sona.
Tabeng ena, ke mang ea ka senyang data eo o e fetisang:
- Mokhanni oa sebaka sa ho kena. Ho totobetse hore mosebeletsi oa hona joale oa sebaka sa Medium network access a ka mamela sephethephethe se sa ngolisoang se fetang thepa ea sona.
- motho ya keneletseng (). Medium e na le bothata bo ts'oanang le , feela mabapi le li-node tse kenang le tse bohareng.
Sena ke kamoo se shebahalang kateng
u etsa qeto ea: ho fihlella lits'ebeletso tsa marang-rang ka har'a marang-rang a Yggdrasil, sebelisa protocol ea HTTPS (boemo ba 7 ). Bothata ke hore ha ho khonehe ho fana ka setifikeiti sa 'nete sa ts'ireletso bakeng sa lits'ebeletso tsa marang-rang tsa Yggdrasil ka mekhoa e tloaelehileng joalo ka .
Ka hona, re thehile setsi sa rona sa setifikeiti - . Boholo ba lits'ebeletso tsa marang-rang a Medium li saennoe ke setifikeiti sa ts'ireletso sa motso sa bolaoli ba mahareng ba setifikeiti sa Medium Domain Validation Secure Server CA.
Monyetla oa ho sekisetsa setifikeiti sa motso oa bolaoli ba setifikeiti e ne e le hantle, ho nahanoa - empa mona setifikeiti se hlokahala ho feta ho tiisa botšepehi ba phetiso ea data le ho felisa monyetla oa litlhaselo tsa MITM.
Litšebeletso tsa marang-rang tse mahareng tse tsoang ho basebelisi ba fapaneng li na le litifikeiti tse fapaneng tsa ts'ireletso, ka tsela e 'ngoe kapa tse ling tse saennoeng ke bolaoli ba setifikeiti sa metso. Leha ho le joalo, basebetsi ba Root CA ha ba khone ho mamela sephethephethe se patiloeng ho tsoa lits'ebeletso tseo ba saenneng litifikeiti tsa ts'ireletso ho tsona (bona ).
Ba amehileng haholo ka polokeho ea bona ba ka sebelisa mekhoa e joalo e le tšireletso e eketsehileng, joalo ka и .
Hona joale, lisebelisoa tsa bohlokoa tsa sechaba tsa marang-rang a Medium li na le bokhoni ba ho hlahloba boemo ba setifikeiti se sebelisang protocol kapa ka tshebediso .
Fumana ntlha
Sebedisa o ile a qala ho theha enjine ea ho batla lits'ebeletso tsa webo tse fumanehang marang-rang a Yggdrasil. Ntlha ea bohlokoa ke taba ea hore boikemisetso ba liaterese tsa IPv6 tsa lits'ebeletso ha u etsa lipatlisiso bo etsoa ka ho romela kopo ho seva sa DNS se ka hare ho marang-rang a Medium.
TLD e kholo ke .ygg. Mabitso a mangata a domain a na le TLD ena, ntle le mekhelo e 'meli: .isp и .gg.
Enjene ea ho batla e ntse e tsoela pele, empa ts'ebeliso ea eona e se e ntse e khoneha kajeno - etela sebaka sa marang-rang feela .
O ka thusa ntshetsopele ya morero, .
Medium e thehile lefapha le lecha la setifikeiti, Medium Global Root CA. Ke bo-mang ba tla angoa ke liphetoho tsee?
Maobane, tlhahlobo ea sechaba ea ts'ebetso ea setsi sa setifikeiti sa Medium Root CA e phethetsoe. Qetellong ea tlhahlobo, liphoso tsa ts'ebetso ea lits'ebeletso tsa mantlha tsa mantlha tsa sechaba li ile tsa lokisoa mme setifikeiti se secha sa motso sa bolaoli ba setifikeiti "Medium Global Root CA" se ile sa theoa.
Lintlha tsohle le likarolo tsa PKI li ile tsa hlokomeloa - joale setifikeiti se secha sa CA "Medium Global Root CA" se tla fanoa lilemo tse leshome hamorao (kamora letsatsi la ho felloa ke nako). Hona joale litifikeiti tsa tšireletso li fanoa feela ke balaoli ba mahareng ba setifikeiti - mohlala, "Medium Domain Validation Secure Server CA".
Setifikeiti sa trust chain se shebahala joang hona joale?
Ke eng e lokelang ho etsoa hore ntho e 'ngoe le e' ngoe e sebetse haeba u mosebedisi:
Kaha lits'ebeletso tse ling li sebelisa HSTS, pele u sebelisa lisebelisoa tsa marang-rang a Medium, u tlameha ho hlakola data ho tsoa mehloling ea Medium intranet. U ka etsa sena ho "Histori" tab ya sebatli sa hau.
Hoa hlokahala hape setsi sa setifikeiti "Medium Global Root CA".
Seo u lokelang ho se etsa ho etsa hore ntho e 'ngoe le e' ngoe e sebetse haeba u le motsamaisi oa tsamaiso:
U hloka ho fana ka setifikeiti hape bakeng sa ts'ebeletso ea hau leqepheng (tšebeletso e fumaneha feela marang-rang a Medium).
Setifikeiti sa ts'ireletso bakeng sa ntlo e 'ngoe le e 'ngoe - mokhoa oa ho iketsetsa ts'ebeletso ho marang-rang a Yggdrasil le ho fana ka setifikeiti sa SSL se nepahetseng bakeng sa eona
Ka lebaka la kholo ea palo ea lits'ebeletso tsa intranet ho marang-rang a Medium, tlhokahalo ea ho fana ka mangolo a macha a tšireletso le ho lokisa litšebeletso tsa bona e le hore ba tšehetse SSL e eketsehile.
Kaha Habr ke sesebelisoa sa tekheniki, nthong e 'ngoe le e' ngoe e ncha ea ho cheka e 'ngoe ea lintho tsa ajenda e tla senola likarolo tsa tekheniki tsa metheo ea Medium network. Mohlala, ka tlase ke litaelo tse felletseng tsa ho fana ka setifikeiti sa SSL bakeng sa ts'ebeletso ea hau.
Mehlala e tla bontša domain name domain.ygg, e tlamehang ho nkeloa sebaka ke domain name ea tšebeletso ea hau.
Mohato 1. Hlahisa linotlolo tsa poraefete le liparamente tsa Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Ebe:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Mohato 2. Etsa kopo ea ho saena setifikeiti
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confLikahare tsa faele domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Mohato 3. Kenya kopo ea setifikeiti
Ho etsa sena, kopitsa litaba tsa faele domain.ygg.csr ebe u e beha sebakeng sa mongolo setšeng .
Latela litaelo tse fanoeng webosaeteng, ebe o tobetsa "Submit". Haeba ho atlehile, molaetsa o tla romelloa atereseng ea lengolo-tsoibila eo u e boletseng e nang le sehokelo ka mokhoa oa setifikeiti se saennoeng ke bolaoli ba mahareng ba setifikeiti.
Mohato 4. Hlophisa seva sa hau sa marang-rang
Haeba u sebelisa nginx joalo ka seva sa hau sa marang-rang, sebelisa tlhophiso e latelang:
faele domain.ygg.conf bukeng / joalo-joalo/nginx/libaka tse teng/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
faele ssl-params.conf bukeng / joalo-joalo/nginx/likotoana/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
faele domain.ygg.conf bukeng / joalo-joalo/nginx/likotoana/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Setifikeiti seo u se fumaneng ka lengolo-tsoibila se tlameha ho kopitsoa ho: /etc/ssl/certs/domain.ygg.crt. Senotlolo sa lekunutu (domain.ygg.key) e behe bukeng /etc/ssl/private/.
Mohato 5. Qala seva sa hau sa marang-rang bocha
sudo service nginx restartMarang-rang a mahala Russia a qala ka uena
U ka fana ka thuso eohle e ka khonehang ho theha Marang-rang a mahala Russia kajeno. Re hlophisitse lethathamo le felletseng la hore na u ka thusa marang-rang joang:
- Bolella metsoalle ea hau le basebetsi-'moho ka marang-rang a Medium. Arolelana ho sengoloa sena ho marang-rang a sechaba kapa blog ea motho
- Nka karolo lipuisanong tsa litaba tsa tekheniki ho marang-rang a Medium
- Theha tšebeletso ea hau ea marang-rang marang-rang a Yggdrasil 'me u e kenye
- Phahamisa tsa hao ho marang-rang a Medium
Likhatiso tse fetileng:
Bala hape:
Re ho Telegraph:
Ke basebelisi ba ngolisitsoeng feela ba ka kenyang letsoho phuputsong. ka kopo.
Mokhoa o mong oa ho vouta: ho bohlokoa hore re tsebe maikutlo a ba se nang ak'haonte e felletseng ka Habré.
-
↑
-
↓
Basebelisi ba 7 ba ile ba khetha. Basebelisi ba 2 ba hanne.
Source: www.habr.com