Urang ngadangu frase "kaamanan nasional" sepanjang waktos, tapi nalika pamaréntah mimiti ngawas komunikasi urang, ngarékam aranjeunna tanpa kacurigaan kredibel, dasar hukum jeung tanpa tujuan jelas, urang kudu nanya ka diri urang sorangan patarosan: naha maranéhna bener ngajaga kaamanan nasional atawa aranjeunna ngajaga sorangan?
- Edward Snowden
Digest ieu dimaksudkeun pikeun ngaronjatkeun minat Komunitas urang dina masalah privasi, nu, dina lampu tina acara panganyarna janten langkung relevan ti kantos sateuacan.
Dina agenda:
Peminat ti komunitas panyadia Internet desentralisasi "Medium" nyiptakeun mesin pencari sorangan
Medium parantos ngadegkeun otoritas sertifikasi énggal, Medium Global Root CA. Saha anu bakal kapangaruhan ku parobahan?
Sertipikat kaamanan pikeun unggal bumi - kumaha cara ngadamel jasa anjeun nyalira dina jaringan Yggdrasil sareng ngaluarkeun sertipikat SSL anu valid pikeun éta
Ngingetkeun kuring - naon "Medium"?
medium (Ing. medium - "perantara", slogan asli - Tong naroskeun privasi anjeun. Candak deui; ogé dina basa Inggris kecap sedeng hartina "panengah") - panyadia Internet desentralisasi Rusia nyadiakeun ladenan aksés jaringan Yggdrasil haratis.
Diwangun dina April 2019 salaku bagian tina nyiptakeun lingkungan telekomunikasi mandiri ku nyayogikeun aksés ka pangguna akhir kana sumber daya jaringan Yggdrasil ngalangkungan téknologi pangiriman data nirkabel Wi-Fi.
Peminat ti komunitas panyadia Internet desentralisasi "Medium" nyiptakeun mesin pencari sorangan
Asalna online Yggdrasil, nu ngagunakeun panyadia ladenan Internet desentralisasi Medium salaku angkutan, teu boga server DNS sorangan atawa infrastruktur konci publik - kumaha oge, kabutuhan pikeun ngaluarkeun sertipikat kaamanan pikeun layanan jaringan Medium direngsekeun dua masalah ieu.
Naha anjeun peryogi PKI lamun Yggdrasil out of the box nyadiakeun kamampuhan pikeun encrypt lalulintas antara peers?Teu kedah nganggo HTTPS pikeun nyambung ka jasa wéb dina jaringan Yggdrasil upami anjeun nyambung ka aranjeunna ngalangkungan router jaringan Yggdrasil anu ngajalankeun lokal.
Mémang: Angkutan Yggdrasil satara protokol ngidinan Anjeun pikeun aman ngagunakeun sumberdaya dina jaringan Yggdrasil - kamampuhan pikeun ngalakonan serangan MITM sagemblengna kaasup.
Kaayaanana robih sacara radikal upami anjeun ngaksés sumber daya intranet Yggdarsil henteu langsung, tapi ngalangkungan titik perantara - titik aksés jaringan Medium, anu dikaluarkeun ku operator na.
Dina hal ieu, saha anu tiasa kompromi data anu anjeun kirimkeun:
Operator titik aksés. Éta écés yén operator ayeuna titik aksés jaringan Medium tiasa nguping kana lalu lintas anu henteu énkripsi anu ngalangkungan alatna.
kaputusan: pikeun ngakses jasa wéb dina jaringan Yggdrasil, paké protokol HTTPS (level 7 model OSI). Masalahna nyaéta teu mungkin ngaluarkeun sertipikat kaamanan asli pikeun jasa jaringan Yggdrasil ngaliwatan cara konvensional sapertos Hayu urang Encrypt.
Ku alatan éta, kami ngadegkeun puseur sertifikasi sorangan - "Medium Global Root CA". Seuseueurna jasa dina jaringan Medium ditandatanganan ku sertipikat kaamanan akar otoritas sertifikasi panengah Medium Domain Validation Secure Server CA.
Kamungkinan kompromi sertipikat akar otoritas sertifikasi, tangtosna, dipertimbangkeun - tapi di dieu sertipikat langkung diperyogikeun pikeun mastikeun integritas pangiriman data sareng ngaleungitkeun kamungkinan serangan MITM.
Ladenan jaringan sedeng ti operator béda boga sertipikat kaamanan béda, salah sahiji atawa cara séjén ditandatanganan ku otoritas sertifikasi root. Nanging, operator Root CA henteu tiasa nguping kana lalu lintas énkripsi tina jasa anu aranjeunna parantos nandatanganan sertipikat kaamanan (tingali "Naon CSR?").
Jalma anu utamana paduli kasalametan maranéhanana bisa ngagunakeun sarana kayaning panyalindungan tambahan, kayaning PGP и sarupa.
Ayeuna, infrastruktur konci umum tina jaringan Medium gaduh kamampuan mariksa status sertipikat nganggo protokol OCSP atawa ngaliwatan pamakéan C.R.L..
Meunang ka titik
Пользователь @NXShock mimiti ngembangkeun mesin pencari pikeun layanan wéb anu aya dina jaringan Yggdrasil. Aspék penting nyaéta kanyataan yén tekad alamat IPv6 jasa nalika ngalaksanakeun panéangan dilaksanakeun ku ngirim pamenta ka server DNS anu aya di jero jaringan Medium.
TLD utama nyaéta .ygg. Kaseueuran nami domain gaduh TLD ieu, sareng dua pangecualian: .isp и .gg.
Mesin pencari nuju dikembangkeun, tapi pamakeanna parantos aya ayeuna - ngan ukur nganjang ka halaman wéb search.medium.isp.
Medium parantos ngadegkeun otoritas sertifikasi énggal, Medium Global Root CA. Saha anu bakal kapangaruhan ku parobahan?
Kamari, uji publik ngeunaan fungsionalitas pusat sertifikasi Medium Root CA parantos réngsé. Dina ahir tés, kasalahan dina operasi jasa infrastruktur konci umum dilereskeun sareng sertipikat akar anyar otoritas sertifikasi "Medium Global Root CA" didamel.
Sadaya nuansa sareng fitur PKI dipertimbangkeun - ayeuna sertipikat CA anyar "Medium Global Root CA" bakal dikaluarkeun ngan sapuluh taun saatosna (sanggeus tanggal béakna). Ayeuna sertipikat kaamanan dikaluarkeun ngan ku otoritas sertifikasi panengah - contona, "Medium Domain Validation Secure Server CA".
Naon rupa ranté amanah sertipikat ayeuna?
Naon anu kedah dilakukeun pikeun sadayana tiasa dianggo upami anjeun pangguna:
Kusabab sababaraha jasa nganggo HSTS, sateuacan nganggo sumber jaringan Medium, anjeun kedah mupus data tina sumber intranet Medium. Anjeun tiasa ngalakukeun ieu dina tab Riwayat browser anjeun.
Naon anu kedah dilakukeun pikeun ngajantenkeun sadayana tiasa dianggo upami anjeun operator sistem:
Anjeun kudu ngaluarkeun deui sertipikat pikeun layanan anjeun dina kaca pki.medium.isp (Ladenan ngan sadia dina jaringan Medium).
Sertipikat kaamanan pikeun unggal bumi - kumaha cara ngadamel jasa anjeun nyalira dina jaringan Yggdrasil sareng ngaluarkeun sertipikat SSL anu valid pikeun éta
Kusabab paningkatan jumlah jasa intranet dina jaringan Medium, kabutuhan ngaluarkeun sertipikat kaamanan anyar sareng ngonpigurasikeun jasana supados ngadukung SSL parantos ningkat.
Kusabab Habr mangrupakeun sumberdaya teknis, dina unggal nyerna anyar salah sahiji item agenda bakal nembongkeun fitur teknis infrastruktur jaringan Medium. Contona, di handap aya parentah komprehensif pikeun ngaluarkeun sertipikat SSL pikeun layanan anjeun.
Conto bakal nunjukkeun nami domain domain.ygg, nu kudu diganti ku ngaran domain layanan anjeun.
Lengkah 1. Ngahasilkeun konci pribadi sareng parameter Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Lengkah 3. Kirimkeun pamundut sertipikat
Jang ngalampahkeun ieu, salin eusi file domain.ygg.csr teras témpélkeun kana widang téks dina situs éta pki.medium.isp.
Turutan parentah nu disadiakeun dina website, teras klik "Kirim". Upami suksés, pesen bakal dikirim ka alamat email anu anjeun candak ngandung lampiran dina bentuk sertipikat anu ditandatanganan ku otoritas sertifikasi panengah.
Lengkah 4. Nyetél pangladén wéb anjeun
Upami anjeun nganggo nginx salaku pangladén wéb anjeun, paké konfigurasi ieu:
file domain.ygg.conf dina diréktori /etc/nginx/sites-available/
Sertipikat anu anjeun tampi ku email kedah disalin ka: /etc/ssl/certs/domain.ygg.crt. konci swasta (domain.ygg.key) nempatkeun eta dina diréktori a /jsb/ssl/swasta/.
Lengkah 5. Balikan deui server wéb anjeun
sudo service nginx restart
Internét gratis di Rusia dimimitian ku anjeun
Anjeun tiasa nyayogikeun sagala pitulung anu mungkin pikeun ngadegkeun Internét gratis di Rusia ayeuna. Kami parantos nyusun daptar lengkep ngeunaan kumaha anjeun tiasa ngabantosan jaringan:
Béjakeun ka réréncangan sareng kolega anjeun ngeunaan jaringan Medium. Bagikeun rujukan ka artikel ieu dina jaringan sosial atawa blog pribadi
Ilubiung dina diskusi ngeunaan masalah téknis dina jaringan Medium dina GitHub