Vi hör uttrycket "nationell säkerhet" hela tiden, men när regeringen börjar övervaka vår kommunikation, spela in dem utan trovärdig misstanke, rättslig grund och utan något uppenbart syfte, måste vi ställa oss frågan: skyddar de verkligen den nationella säkerheten eller skyddar de sina egna?
- Edward Snowden
Denna sammanfattning är avsedd att öka gemenskapens intresse för integritetsfrågan, som i ljuset av senaste händelserna blir mer relevant än någonsin tidigare.
På agendan:
Entusiaster från gemenskapen av den decentraliserade internetleverantören "Medium" skapar sin egen sökmotor
Medium har etablerat en ny certifieringsmyndighet, Medium Global Root CA. Vilka kommer att påverkas av förändringarna?
Säkerhetscertifikat för varje hem - hur du skapar din egen tjänst på Yggdrasils nätverk och utfärdar ett giltigt SSL-certifikat för det
Påminn mig - vad är "Medium"?
Medium (Engelska Medium - "mellanhand", original slogan - Fråga inte om din integritet. Ta tillbaka det; även på engelska ordet Medium betyder "mellanliggande") - en rysk decentraliserad internetleverantör som tillhandahåller nätverksåtkomsttjänster yggdrasil gratis.
Fullständigt namn: Medium Internet Service Provider. Till en början var projektet tänkt som Mesh-nätverk в Kolomna stadsdel.
Bildades i april 2019 som en del av skapandet av en oberoende telekommunikationsmiljö genom att ge slutanvändare tillgång till Yggdrasils nätverksresurser genom användning av trådlös dataöverföringsteknik för Wi-Fi.
Entusiaster från gemenskapen av den decentraliserade internetleverantören "Medium" skapar sin egen sökmotor
Ursprungligen online yggdrasil, som den decentraliserade internettjänsteleverantören Medium använder som transport, hade ingen egen DNS-server eller infrastruktur för publika nyckel – dock löste behovet av att utfärda säkerhetscertifikat för Medium nätverkstjänster dessa två problem.
Varför behöver du PKI om Yggdrasil out of the box ger möjlighet att kryptera trafik mellan peers?Det finns ingen anledning att använda HTTPS för att ansluta till webbtjänster på Yggdrasil-nätverket om du ansluter till dem via en lokalt körande Yggdrasil-nätverksrouter.
Verkligen: Yggdrasil transport är i nivå protokoll gör att du säkert kan använda resurser inom Yggdrasil-nätverket - förmågan att bedriva MITM attacker helt utesluten.
Situationen förändras radikalt om du kommer åt Yggdarsils intranätresurser inte direkt, utan genom en mellanliggande nod - Medium Network Access Point, som administreras av dess operatör.
I det här fallet, vem kan äventyra data du överför:
Åtkomstpunktoperatör. Det är uppenbart att den nuvarande operatören av Medium-nätverksaccesspunkten kan avlyssna okrypterad trafik som passerar genom dess utrustning.
beslutet: för att komma åt webbtjänster inom Yggdrasil-nätverket, använd HTTPS-protokollet (nivå 7 OSI-modeller). Problemet är att det inte går att utfärda ett äkta säkerhetscertifikat för Yggdrasils nätverkstjänster på konventionellt sätt som t.ex. Låt oss kryptera.
Därför etablerade vi vårt eget certifieringscenter - "Medium Global Root CA". De allra flesta Medium-nätverkstjänster är signerade av rotsäkerhetscertifikatet från den mellanliggande certifikatutfärdaren "Medium Domain Validation Secure Server CA".
Möjligheten att äventyra certifieringsmyndighetens rotcertifikat togs naturligtvis hänsyn – men här är certifikatet mer nödvändigt för att bekräfta dataöverföringens integritet och eliminera möjligheten till MITM-attacker.
Mellanstora nätverkstjänster från olika operatörer har olika säkerhetscertifikat, på ett eller annat sätt signerade av rotcertifikatutfärdaren. Root CA-operatörer kan dock inte avlyssna krypterad trafik från tjänster som de har signerat säkerhetscertifikat till (se "Vad är CSR?").
De som är särskilt måna om sin säkerhet kan använda sådana medel som ytterligare skydd, som t.ex PGP и liknande.
För närvarande har den publika nyckelinfrastrukturen i Medium-nätverket möjlighet att kontrollera statusen för ett certifikat med hjälp av protokollet OCSP eller genom användning CRL.
Kom till saken
Användare @NXShock började utveckla en sökmotor för webbtjänster som finns på nätverket Yggdrasil. En viktig aspekt är det faktum att fastställandet av IPv6-adresser för tjänster när du utför en sökning utförs genom att skicka en förfrågan till en DNS-server som finns i Medium-nätverket.
Den huvudsakliga toppdomänen är .ygg. De flesta domännamn har denna toppdomän, med två undantag: .isp и .gg.
Sökmotorn är under utveckling, men dess användning är möjlig redan idag - besök bara hemsidan sök.medium.isp.
Medium har etablerat en ny certifieringsmyndighet, Medium Global Root CA. Vilka kommer att påverkas av förändringarna?
I går slutfördes offentliga tester av funktionaliteten hos Medium Root CA-certifieringscentret. I slutet av testet korrigerades fel i driften av infrastrukturtjänster för offentliga nyckel och ett nytt rotcertifikat från certifieringsmyndigheten "Medium Global Root CA" skapades.
Alla nyanser och funktioner i PKI togs i beaktande - nu kommer det nya CA-certifikatet "Medium Global Root CA" att utfärdas bara tio år senare (efter dess utgångsdatum). Nu utfärdas säkerhetscertifikat endast av mellanliggande certifieringsmyndigheter - till exempel "Medium Domain Validation Secure Server CA".
Hur ser certifikatförtroendekedjan ut nu?
Vad behöver göras för att allt ska fungera om du är en användare:
Eftersom vissa tjänster använder HSTS måste du ta bort data från Medium intranätsresurser innan du använder Medium nätverksresurser. Du kan göra detta på fliken Historik i din webbläsare.
Vad behöver göras för att få allt att fungera om du är en systemoperatör:
Du måste återutfärda certifikatet för din tjänst på sidan pki.medium.isp (tjänsten är endast tillgänglig på Medium-nätverket).
Säkerhetscertifikat för varje hem - hur du skapar din egen tjänst på Yggdrasils nätverk och utfärdar ett giltigt SSL-certifikat för det
På grund av ökningen av antalet intranättjänster på Medium-nätverket har behovet av att utfärda nya säkerhetscertifikat och konfigurera sina tjänster så att de stödjer SSL ökat.
Eftersom Habr är en teknisk resurs kommer en av agendapunkterna i varje ny sammanfattning att avslöja de tekniska egenskaperna hos Medium-nätverksinfrastrukturen. Nedan finns till exempel omfattande instruktioner för att utfärda ett SSL-certifikat för din tjänst.
Exemplen kommer att ange domännamnet domän.ygg, som måste ersättas med domännamnet för din tjänst.
Steg 1. Generera privat nyckel och Diffie-Hellman parametrar
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Steg 3. Skicka in en certifikatbegäran
För att göra detta, kopiera innehållet i filen domän.ygg.csr och klistra in det i textfältet på webbplatsen pki.medium.isp.
Följ instruktionerna på webbplatsen och klicka sedan på "Skicka". Om det lyckas kommer ett meddelande att skickas till den e-postadress du angett som innehåller en bilaga i form av ett certifikat undertecknat av en mellanliggande certifikatutfärdare.
Steg 4. Konfigurera din webbserver
Om du använder nginx som din webbserver, använd följande konfiguration:
fil domän.ygg.conf i katalogen /etc/nginx/sites-available/
Certifikatet du fått via e-post måste kopieras till: /etc/ssl/certs/domain.ygg.crt. Privat nyckel (domän.ygg.nyckel) placera den i en katalog /etc/ssl/private/.
Steg 5. Starta om din webbserver
sudo service nginx restart
Gratis internet i Ryssland börjar med dig
Du kan ge all möjlig hjälp för att etablera ett gratis internet i Ryssland idag. Vi har sammanställt en omfattande lista över exakt hur du kan hjälpa nätverket:
Berätta för dina vänner och kollegor om nätverket Medium. Dela med sig länk till den här artikeln på sociala nätverk eller personlig blogg
Ta del av diskussionen om tekniska frågor på nätverket Medium på GitHub