Urang ngadangu frase "kaamanan nasional" sepanjang waktos, tapi nalika pamaréntah mimiti ngawas komunikasi urang, ngarékam aranjeunna tanpa kacurigaan kredibel, dasar hukum jeung tanpa tujuan jelas, urang kudu nanya ka diri urang sorangan patarosan: naha maranéhna bener ngajaga kaamanan nasional atawa aranjeunna ngajaga sorangan?
- Edward Snowden
Digest ieu dimaksudkeun pikeun ngaronjatkeun minat Komunitas urang dina masalah privasi, nu, dina lampu tina janten langkung relevan ti kantos sateuacan.
Dina agenda:
Peminat ti komunitas panyadia Internet desentralisasi "Medium" nyiptakeun mesin pencari sorangan
Medium parantos ngadegkeun otoritas sertifikasi énggal, Medium Global Root CA. Saha anu bakal kapangaruhan ku parobahan?
Sertipikat kaamanan pikeun unggal bumi - kumaha cara ngadamel jasa anjeun nyalira dina jaringan Yggdrasil sareng ngaluarkeun sertipikat SSL anu valid pikeun éta
Ngingetkeun kuring - naon "Medium"?
medium (Ing. medium - "perantara", slogan asli - Tong naroskeun privasi anjeun. Candak deui; ogé dina basa Inggris kecap sedeng hartina "panengah") - panyadia Internet desentralisasi Rusia nyadiakeun ladenan aksés jaringan haratis.
Ngaran lengkep: Medium Internet Service Provider. Mimitina proyék ieu katimu salaku в .
Diwangun dina April 2019 salaku bagian tina nyiptakeun lingkungan telekomunikasi mandiri ku nyayogikeun aksés ka pangguna akhir kana sumber daya jaringan Yggdrasil ngalangkungan téknologi pangiriman data nirkabel Wi-Fi.
Inpo nu langkung lengkep ihwal topik:
Peminat ti komunitas panyadia Internet desentralisasi "Medium" nyiptakeun mesin pencari sorangan
Asalna online , nu ngagunakeun panyadia ladenan Internet desentralisasi Medium salaku angkutan, teu boga server DNS sorangan atawa infrastruktur konci publik - kumaha oge, kabutuhan pikeun ngaluarkeun sertipikat kaamanan pikeun layanan jaringan Medium direngsekeun dua masalah ieu.
Naha anjeun peryogi PKI lamun Yggdrasil out of the box nyadiakeun kamampuhan pikeun encrypt lalulintas antara peers?Teu kedah nganggo HTTPS pikeun nyambung ka jasa wéb dina jaringan Yggdrasil upami anjeun nyambung ka aranjeunna ngalangkungan router jaringan Yggdrasil anu ngajalankeun lokal.
Mémang: Angkutan Yggdrasil satara ngidinan Anjeun pikeun aman ngagunakeun sumberdaya dina jaringan Yggdrasil - kamampuhan pikeun ngalakonan sagemblengna kaasup.
Kaayaanana robih sacara radikal upami anjeun ngaksés sumber daya intranet Yggdarsil henteu langsung, tapi ngalangkungan titik perantara - titik aksés jaringan Medium, anu dikaluarkeun ku operator na.
Dina hal ieu, saha anu tiasa kompromi data anu anjeun kirimkeun:
- Operator titik aksés. Éta écés yén operator ayeuna titik aksés jaringan Medium tiasa nguping kana lalu lintas anu henteu énkripsi anu ngalangkungan alatna.
- panyusup (). Sedeng boga masalah sarupa , ngan dina hubungan input jeung titik panengah.
Ieu naon eta Sigana mah
kaputusan: pikeun ngakses jasa wéb dina jaringan Yggdrasil, paké protokol HTTPS (level 7 ). Masalahna nyaéta teu mungkin ngaluarkeun sertipikat kaamanan asli pikeun jasa jaringan Yggdrasil ngaliwatan cara konvensional sapertos .
Ku alatan éta, kami ngadegkeun puseur sertifikasi sorangan - . Seuseueurna jasa dina jaringan Medium ditandatanganan ku sertipikat kaamanan akar otoritas sertifikasi panengah Medium Domain Validation Secure Server CA.
Kamungkinan kompromi sertipikat akar otoritas sertifikasi, tangtosna, dipertimbangkeun - tapi di dieu sertipikat langkung diperyogikeun pikeun mastikeun integritas pangiriman data sareng ngaleungitkeun kamungkinan serangan MITM.
Ladenan jaringan sedeng ti operator béda boga sertipikat kaamanan béda, salah sahiji atawa cara séjén ditandatanganan ku otoritas sertifikasi root. Nanging, operator Root CA henteu tiasa nguping kana lalu lintas énkripsi tina jasa anu aranjeunna parantos nandatanganan sertipikat kaamanan (tingali ).
Jalma anu utamana paduli kasalametan maranéhanana bisa ngagunakeun sarana kayaning panyalindungan tambahan, kayaning и .
Ayeuna, infrastruktur konci umum tina jaringan Medium gaduh kamampuan mariksa status sertipikat nganggo protokol atawa ngaliwatan pamakéan .
Meunang ka titik
Пользователь mimiti ngembangkeun mesin pencari pikeun layanan wéb anu aya dina jaringan Yggdrasil. Aspék penting nyaéta kanyataan yén tekad alamat IPv6 jasa nalika ngalaksanakeun panéangan dilaksanakeun ku ngirim pamenta ka server DNS anu aya di jero jaringan Medium.
TLD utama nyaéta .ygg. Kaseueuran nami domain gaduh TLD ieu, sareng dua pangecualian: .isp и .gg.
Mesin pencari nuju dikembangkeun, tapi pamakeanna parantos aya ayeuna - ngan ukur nganjang ka halaman wéb .
Anjeun tiasa ngabantosan pangwangunan proyék, .
Medium parantos ngadegkeun otoritas sertifikasi énggal, Medium Global Root CA. Saha anu bakal kapangaruhan ku parobahan?
Kamari, uji publik ngeunaan fungsionalitas pusat sertifikasi Medium Root CA parantos réngsé. Dina ahir tés, kasalahan dina operasi jasa infrastruktur konci umum dilereskeun sareng sertipikat akar anyar otoritas sertifikasi "Medium Global Root CA" didamel.
Sadaya nuansa sareng fitur PKI dipertimbangkeun - ayeuna sertipikat CA anyar "Medium Global Root CA" bakal dikaluarkeun ngan sapuluh taun saatosna (sanggeus tanggal béakna). Ayeuna sertipikat kaamanan dikaluarkeun ngan ku otoritas sertifikasi panengah - contona, "Medium Domain Validation Secure Server CA".
Naon rupa ranté amanah sertipikat ayeuna?
Naon anu kedah dilakukeun pikeun sadayana tiasa dianggo upami anjeun pangguna:
Kusabab sababaraha jasa nganggo HSTS, sateuacan nganggo sumber jaringan Medium, anjeun kedah mupus data tina sumber intranet Medium. Anjeun tiasa ngalakukeun ieu dina tab Riwayat browser anjeun.
Éta ogé perlu puseur sertifikasi "Medium Global Root CA".
Naon anu kedah dilakukeun pikeun ngajantenkeun sadayana tiasa dianggo upami anjeun operator sistem:
Anjeun kudu ngaluarkeun deui sertipikat pikeun layanan anjeun dina kaca (Ladenan ngan sadia dina jaringan Medium).
Sertipikat kaamanan pikeun unggal bumi - kumaha cara ngadamel jasa anjeun nyalira dina jaringan Yggdrasil sareng ngaluarkeun sertipikat SSL anu valid pikeun éta
Kusabab paningkatan jumlah jasa intranet dina jaringan Medium, kabutuhan ngaluarkeun sertipikat kaamanan anyar sareng ngonpigurasikeun jasana supados ngadukung SSL parantos ningkat.
Kusabab Habr mangrupakeun sumberdaya teknis, dina unggal nyerna anyar salah sahiji item agenda bakal nembongkeun fitur teknis infrastruktur jaringan Medium. Contona, di handap aya parentah komprehensif pikeun ngaluarkeun sertipikat SSL pikeun layanan anjeun.
Conto bakal nunjukkeun nami domain domain.ygg, nu kudu diganti ku ngaran domain layanan anjeun.
Lengkah 1. Ngahasilkeun konci pribadi sareng parameter Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048lajeng:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Lengkah 2. Jieun pamundut Signing sertipikat
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confeusi file domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Lengkah 3. Kirimkeun pamundut sertipikat
Jang ngalampahkeun ieu, salin eusi file domain.ygg.csr teras témpélkeun kana widang téks dina situs éta .
Turutan parentah nu disadiakeun dina website, teras klik "Kirim". Upami suksés, pesen bakal dikirim ka alamat email anu anjeun candak ngandung lampiran dina bentuk sertipikat anu ditandatanganan ku otoritas sertifikasi panengah.
Lengkah 4. Nyetél pangladén wéb anjeun
Upami anjeun nganggo nginx salaku pangladén wéb anjeun, paké konfigurasi ieu:
file domain.ygg.conf dina diréktori /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
file ssl-params.conf dina diréktori /etc/nginx/snippét/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
file domain.ygg.conf dina diréktori /etc/nginx/snippét/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Sertipikat anu anjeun tampi ku email kedah disalin ka: /etc/ssl/certs/domain.ygg.crt. konci swasta (domain.ygg.key) nempatkeun eta dina diréktori a /jsb/ssl/swasta/.
Lengkah 5. Balikan deui server wéb anjeun
sudo service nginx restartInternét gratis di Rusia dimimitian ku anjeun
Anjeun tiasa nyayogikeun sagala pitulung anu mungkin pikeun ngadegkeun Internét gratis di Rusia ayeuna. Kami parantos nyusun daptar lengkep ngeunaan kumaha anjeun tiasa ngabantosan jaringan:
- Béjakeun ka réréncangan sareng kolega anjeun ngeunaan jaringan Medium. Bagikeun ka artikel ieu dina jaringan sosial atawa blog pribadi
- Ilubiung dina diskusi ngeunaan masalah téknis dina jaringan Medium
- Jieun jasa wéb anjeun dina jaringan Yggdrasil sareng tambahkeun kana
- Angkat anjeun ka jaringan Medium
Kaluaran saméméhna:
Tempo ogé:
Kami di Telegram:
Ngan pamaké nu kadaptar bisa ilubiung dina survey. , Punten.
Undian alternatif: penting pikeun urang terang pendapat jalma anu henteu gaduh akun lengkep dina Habré
-
↑
-
↓
7 pamaké milih. 2 pamaké abstained.
sumber: www.habr.com