Vi hör uttrycket "nationell säkerhet" hela tiden, men när regeringen börjar övervaka vår kommunikation, spela in dem utan trovärdig misstanke, rättslig grund och utan något uppenbart syfte, måste vi ställa oss frågan: skyddar de verkligen den nationella säkerheten eller skyddar de sina egna?
- Edward Snowden
Denna sammanfattning är avsedd att öka gemenskapens intresse för integritetsfrågan, som i ljuset av blir mer relevant än någonsin tidigare.
På agendan:
Entusiaster från gemenskapen av den decentraliserade internetleverantören "Medium" skapar sin egen sökmotor
Medium har etablerat en ny certifieringsmyndighet, Medium Global Root CA. Vilka kommer att påverkas av förändringarna?
Säkerhetscertifikat för varje hem - hur du skapar din egen tjänst på Yggdrasils nätverk och utfärdar ett giltigt SSL-certifikat för det
Påminn mig - vad är "Medium"?
Medium (Engelska Medium - "mellanhand", original slogan - Fråga inte om din integritet. Ta tillbaka det; även på engelska ordet Medium betyder "mellanliggande") - en rysk decentraliserad internetleverantör som tillhandahåller nätverksåtkomsttjänster gratis.
Fullständigt namn: Medium Internet Service Provider. Till en början var projektet tänkt som в .
Bildades i april 2019 som en del av skapandet av en oberoende telekommunikationsmiljö genom att ge slutanvändare tillgång till Yggdrasils nätverksresurser genom användning av trådlös dataöverföringsteknik för Wi-Fi.
Mer information om ämnet:
Entusiaster från gemenskapen av den decentraliserade internetleverantören "Medium" skapar sin egen sökmotor
Ursprungligen online , som den decentraliserade internettjänsteleverantören Medium använder som transport, hade ingen egen DNS-server eller infrastruktur för publika nyckel – dock löste behovet av att utfärda säkerhetscertifikat för Medium nätverkstjänster dessa två problem.
Varför behöver du PKI om Yggdrasil out of the box ger möjlighet att kryptera trafik mellan peers?Det finns ingen anledning att använda HTTPS för att ansluta till webbtjänster på Yggdrasil-nätverket om du ansluter till dem via en lokalt körande Yggdrasil-nätverksrouter.
Verkligen: Yggdrasil transport är i nivå gör att du säkert kan använda resurser inom Yggdrasil-nätverket - förmågan att bedriva helt utesluten.
Situationen förändras radikalt om du kommer åt Yggdarsils intranätresurser inte direkt, utan genom en mellanliggande nod - Medium Network Access Point, som administreras av dess operatör.
I det här fallet, vem kan äventyra data du överför:
- Åtkomstpunktoperatör. Det är uppenbart att den nuvarande operatören av Medium-nätverksaccesspunkten kan avlyssna okrypterad trafik som passerar genom dess utrustning.
- inkräktare (). Medium har ett liknande problem , endast i förhållande till ingångs- och mellannoder.
Så här ser det ut
beslutet: för att komma åt webbtjänster inom Yggdrasil-nätverket, använd HTTPS-protokollet (nivå 7 ). Problemet är att det inte går att utfärda ett äkta säkerhetscertifikat för Yggdrasils nätverkstjänster på konventionellt sätt som t.ex. .
Därför etablerade vi vårt eget certifieringscenter - . De allra flesta Medium-nätverkstjänster är signerade av rotsäkerhetscertifikatet från den mellanliggande certifikatutfärdaren "Medium Domain Validation Secure Server CA".
Möjligheten att äventyra certifieringsmyndighetens rotcertifikat togs naturligtvis hänsyn – men här är certifikatet mer nödvändigt för att bekräfta dataöverföringens integritet och eliminera möjligheten till MITM-attacker.
Mellanstora nätverkstjänster från olika operatörer har olika säkerhetscertifikat, på ett eller annat sätt signerade av rotcertifikatutfärdaren. Root CA-operatörer kan dock inte avlyssna krypterad trafik från tjänster som de har signerat säkerhetscertifikat till (se ).
De som är särskilt måna om sin säkerhet kan använda sådana medel som ytterligare skydd, som t.ex и .
För närvarande har den publika nyckelinfrastrukturen i Medium-nätverket möjlighet att kontrollera statusen för ett certifikat med hjälp av protokollet eller genom användning .
Kom till saken
Användare började utveckla en sökmotor för webbtjänster som finns på nätverket Yggdrasil. En viktig aspekt är det faktum att fastställandet av IPv6-adresser för tjänster när du utför en sökning utförs genom att skicka en förfrågan till en DNS-server som finns i Medium-nätverket.
Den huvudsakliga toppdomänen är .ygg. De flesta domännamn har denna toppdomän, med två undantag: .isp и .gg.
Sökmotorn är under utveckling, men dess användning är möjlig redan idag - besök bara hemsidan .
Du kan hjälpa till med utvecklingen av projektet, .
Medium har etablerat en ny certifieringsmyndighet, Medium Global Root CA. Vilka kommer att påverkas av förändringarna?
I går slutfördes offentliga tester av funktionaliteten hos Medium Root CA-certifieringscentret. I slutet av testet korrigerades fel i driften av infrastrukturtjänster för offentliga nyckel och ett nytt rotcertifikat från certifieringsmyndigheten "Medium Global Root CA" skapades.
Alla nyanser och funktioner i PKI togs i beaktande - nu kommer det nya CA-certifikatet "Medium Global Root CA" att utfärdas bara tio år senare (efter dess utgångsdatum). Nu utfärdas säkerhetscertifikat endast av mellanliggande certifieringsmyndigheter - till exempel "Medium Domain Validation Secure Server CA".
Hur ser certifikatförtroendekedjan ut nu?
Vad behöver göras för att allt ska fungera om du är en användare:
Eftersom vissa tjänster använder HSTS måste du ta bort data från Medium intranätsresurser innan du använder Medium nätverksresurser. Du kan göra detta på fliken Historik i din webbläsare.
Det är också nödvändigt certifieringscenter "Medium Global Root CA".
Vad behöver göras för att få allt att fungera om du är en systemoperatör:
Du måste återutfärda certifikatet för din tjänst på sidan (tjänsten är endast tillgänglig på Medium-nätverket).
Säkerhetscertifikat för varje hem - hur du skapar din egen tjänst på Yggdrasils nätverk och utfärdar ett giltigt SSL-certifikat för det
På grund av ökningen av antalet intranättjänster på Medium-nätverket har behovet av att utfärda nya säkerhetscertifikat och konfigurera sina tjänster så att de stödjer SSL ökat.
Eftersom Habr är en teknisk resurs kommer en av agendapunkterna i varje ny sammanfattning att avslöja de tekniska egenskaperna hos Medium-nätverksinfrastrukturen. Nedan finns till exempel omfattande instruktioner för att utfärda ett SSL-certifikat för din tjänst.
Exemplen kommer att ange domännamnet domän.ygg, som måste ersättas med domännamnet för din tjänst.
Steg 1. Generera privat nyckel och Diffie-Hellman parametrar
openssl genrsa -out domain.ygg.key 2048då:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Steg 2. Skapa en begäran om certifikatsignering
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confFilens innehåll domän.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Steg 3. Skicka in en certifikatbegäran
För att göra detta, kopiera innehållet i filen domän.ygg.csr och klistra in det i textfältet på webbplatsen .
Följ instruktionerna på webbplatsen och klicka sedan på "Skicka". Om det lyckas kommer ett meddelande att skickas till den e-postadress du angett som innehåller en bilaga i form av ett certifikat undertecknat av en mellanliggande certifikatutfärdare.
Steg 4. Konfigurera din webbserver
Om du använder nginx som din webbserver, använd följande konfiguration:
fil domän.ygg.conf i katalogen /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
fil ssl-params.conf i katalogen /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
fil domän.ygg.conf i katalogen /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Certifikatet du fått via e-post måste kopieras till: /etc/ssl/certs/domain.ygg.crt. Privat nyckel (domän.ygg.nyckel) placera den i en katalog /etc/ssl/private/.
Steg 5. Starta om din webbserver
sudo service nginx restartGratis internet i Ryssland börjar med dig
Du kan ge all möjlig hjälp för att etablera ett gratis internet i Ryssland idag. Vi har sammanställt en omfattande lista över exakt hur du kan hjälpa nätverket:
- Berätta för dina vänner och kollegor om nätverket Medium. Dela med sig till den här artikeln på sociala nätverk eller personlig blogg
- Ta del av diskussionen om tekniska frågor på nätverket Medium
- Skapa din webbtjänst på Yggdrasils nätverk och lägg till den
- Höj din till nätverket Medium
Tidigare utgåvor:
Se även:
Vi är på Telegram:
Endast registrerade användare kan delta i undersökningen. , Snälla du.
Alternativ röstning: det är viktigt för oss att veta åsikten från de som inte har ett fullständigt konto på Habré
-
↑
-
↓
7 användare röstade. 2 användare avstod från att rösta.
Källa: will.com