Tunasikia msemo wa “usalama wa taifa” kila mara, lakini serikali inapoanza kufuatilia mawasiliano yetu, kuyarekodi bila mashaka ya kuaminika, misingi ya kisheria na bila malengo yoyote ya msingi, lazima tujiulize swali: ni kweli wanalinda usalama wa taifa au wanalinda wao wenyewe?
- Edward Snowden
Muhtasari huu unakusudiwa kuongeza hamu ya Jumuiya katika suala la faragha, ambalo, kwa kuzingatia inakuwa muhimu zaidi kuliko hapo awali.
Katika ajenda:
Wapenzi kutoka kwa jumuiya ya mtoa huduma wa Intaneti aliye na mamlaka "Kati" wanaunda injini yao ya utafutaji
Medium imeanzisha mamlaka mpya ya uidhinishaji, Medium Global Root CA. Nani ataathiriwa na mabadiliko?
Vyeti vya usalama kwa kila nyumba - jinsi ya kuunda huduma yako mwenyewe kwenye mtandao wa Yggdrasil na kutoa cheti halali cha SSL kwa hiyo
Nikumbushe - "Kati" ni nini?
Kati (Kiingereza Kati - "mpatanishi", kauli mbiu ya asili - Usiulize faragha yako. Irudishe; pia kwa Kiingereza neno kati inamaanisha "kati") - mtoa huduma wa mtandao wa Kirusi aliyegatuliwa anayetoa huduma za ufikiaji wa mtandao Bure.
Jina kamili: Mtoa Huduma Wastani wa Mtandao. Hapo awali mradi huo uliundwa kama в .
Iliundwa mnamo Aprili 2019 kama sehemu ya uundaji wa mazingira huru ya mawasiliano ya simu kwa kuwapa watumiaji wa mwisho ufikiaji wa rasilimali za mtandao wa Yggdrasil kwa kutumia teknolojia ya utumaji data isiyo na waya ya Wi-Fi.
Habari zaidi juu ya mada:
Wapenzi kutoka kwa jumuiya ya mtoa huduma wa Intaneti aliye na mamlaka "Kati" wanaunda injini yao ya utafutaji
Awali mtandaoni , ambayo mtoa huduma wa Intaneti aliyegatuliwa wa Medium hutumia kama usafiri, hakuwa na seva yake ya DNS au miundombinu muhimu ya umma - hata hivyo, haja ya kutoa vyeti vya usalama kwa huduma za mtandao wa Kati ilitatua matatizo haya mawili.
Kwa nini unahitaji PKI ikiwa Yggdrasil nje ya kisanduku hutoa uwezo wa kusimba trafiki kati ya programu zingine kwa njia fiche?Hakuna haja ya kutumia HTTPS kuunganisha kwa huduma za wavuti kwenye mtandao wa Yggdrasil ukiunganisha nazo kupitia kipanga njia cha mtandao cha Yggdrasil inayoendeshwa ndani ya nchi.
Hakika: Usafiri wa Yggdrasil uko sawa hukuruhusu kutumia rasilimali kwa usalama ndani ya mtandao wa Yggdrasil - uwezo wa kufanya kutengwa kabisa.
Hali inabadilika sana ikiwa unapata rasilimali za intraneti za Yggdarsil sio moja kwa moja, lakini kupitia nodi ya kati - eneo la ufikiaji wa mtandao wa Kati, ambao unasimamiwa na mwendeshaji wake.
Katika kesi hii, ni nani anayeweza kuathiri data unayosambaza:
- Opereta wa sehemu ya ufikiaji. Ni dhahiri kwamba mwendeshaji wa sasa wa kituo cha ufikiaji wa mtandao wa Kati anaweza kusikiliza trafiki ambayo haijasimbwa ambayo hupitia vifaa vyake.
- mvamizi () Kati ina tatizo sawa na , tu kuhusiana na nodi za pembejeo na za kati.
Hivi ndivyo inavyoonekana
uamuzi: ili kufikia huduma za wavuti ndani ya mtandao wa Yggdrasil, tumia itifaki ya HTTPS (kiwango cha 7 ) Shida ni kwamba haiwezekani kutoa cheti cha usalama halisi kwa huduma za mtandao wa Yggdrasil kupitia njia za kawaida kama vile .
Kwa hivyo, tulianzisha kituo chetu cha uthibitisho - . Idadi kubwa ya huduma za mtandao wa Wastani zimetiwa saini na cheti cha usalama cha msingi cha mamlaka ya kati ya uthibitishaji "Seva ya Usalama ya Seva ya Kati ya Uthibitishaji wa Kikoa".
Uwezekano wa kuhatarisha cheti cha mizizi ya mamlaka ya vyeti ilikuwa, bila shaka, kuzingatiwa - lakini hapa cheti ni muhimu zaidi ili kuthibitisha uadilifu wa maambukizi ya data na kuondoa uwezekano wa mashambulizi ya MITM.
Huduma za mtandao wa kati kutoka kwa waendeshaji tofauti zina vyeti tofauti vya usalama, kwa njia moja au nyingine vilivyotiwa saini na mamlaka ya uthibitishaji wa mizizi. Hata hivyo, waendeshaji wa Root CA hawawezi kusikiliza trafiki iliyosimbwa kutoka kwa huduma ambazo wametia saini vyeti vya usalama (tazama ).
Wale ambao wanajali sana usalama wao wanaweza kutumia njia kama vile ulinzi wa ziada, kama vile и .
Hivi sasa, miundombinu muhimu ya umma ya mtandao wa Kati ina uwezo wa kuangalia hali ya cheti kwa kutumia itifaki au kwa kutumia .
Fika kwenye uhakika
Mtumiaji ilianza kutengeneza injini ya utafutaji ya huduma za wavuti iliyo kwenye mtandao wa Yggdrasil. Kipengele muhimu ni ukweli kwamba uamuzi wa anwani za IPv6 za huduma wakati wa kufanya utafutaji unafanywa kwa kutuma ombi kwa seva ya DNS iliyoko ndani ya mtandao wa Kati.
TLD kuu ni .ygg. Majina mengi ya kikoa yana TLD hii, isipokuwa mbili: .isp и .gg.
Injini ya utafutaji iko chini ya maendeleo, lakini matumizi yake tayari yanawezekana leo - tembelea tovuti tu .
Unaweza kusaidia maendeleo ya mradi, .
Medium imeanzisha mamlaka mpya ya uidhinishaji, Medium Global Root CA. Nani ataathiriwa na mabadiliko?
Jana, majaribio ya hadharani ya utendakazi wa kituo cha uidhinishaji cha Medium Root CA yalikamilishwa. Mwishoni mwa majaribio, makosa katika utendakazi wa huduma muhimu za miundombinu ya umma yalisahihishwa na cheti kipya cha msingi cha mamlaka ya uthibitishaji "Medium Global Root CA" iliundwa.
Nuances na huduma zote za PKI zilizingatiwa - sasa cheti kipya cha CA "Medium Global Root CA" kitatolewa miaka kumi tu baadaye (baada ya tarehe ya kumalizika muda wake). Sasa vyeti vya usalama vinatolewa na mamlaka ya kati ya uidhinishaji pekee - kwa mfano, "Seva ya Usalama ya Seva ya Kati ya Uthibitishaji wa Kikoa CA".
Je, msururu wa uaminifu wa cheti unaonekanaje sasa?
Nini kinahitajika kufanywa ili kila kitu kifanye kazi ikiwa wewe ni mtumiaji:
Kwa kuwa huduma zingine hutumia HSTS, kabla ya kutumia rasilimali za mtandao wa Wastani, lazima ufute data kutoka kwa rasilimali za intranet ya Kati. Unaweza kufanya hivyo katika kichupo cha Historia cha kivinjari chako.
Pia ni lazima kituo cha vyeti "Medium Global Root CA".
Ni nini kinachohitajika kufanywa ili kufanya kila kitu kifanye kazi ikiwa wewe ni mwendeshaji wa mfumo:
Unahitaji kutoa tena cheti cha huduma yako kwenye ukurasa (huduma inapatikana tu kwenye mtandao wa Kati).
Vyeti vya usalama kwa kila nyumba - jinsi ya kuunda huduma yako mwenyewe kwenye mtandao wa Yggdrasil na kutoa cheti halali cha SSL kwa hiyo
Kwa sababu ya ukuaji wa idadi ya huduma za intraneti kwenye mtandao wa Kati, hitaji la kutoa vyeti vipya vya usalama na kusanidi huduma zao ili kuunga mkono SSL imeongezeka.
Kwa kuwa Habr ni nyenzo ya kiufundi, katika kila muhtasari mpya moja ya vipengee vya ajenda itafichua vipengele vya kiufundi vya miundombinu ya mtandao wa Kati. Kwa mfano, hapa chini kuna maagizo ya kina ya kutoa cheti cha SSL kwa huduma yako.
Mifano itaonyesha jina la kikoa kikoa.ygg, ambayo lazima ibadilishwe na jina la kikoa la huduma yako.
Hatua 1. Tengeneza ufunguo wa kibinafsi na vigezo vya Diffie-Hellman
openssl genrsa -out domain.ygg.key 2048Kisha:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Hatua 2. Unda ombi la kusaini cheti
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confYaliyomo kwenye faili domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Hatua 3. Peana ombi la cheti
Ili kufanya hivyo, nakili yaliyomo kwenye faili domain.ygg.csr na ubandike kwenye uwanja wa maandishi kwenye tovuti .
Fuata maagizo yaliyotolewa kwenye tovuti, kisha ubofye "Wasilisha". Ikifaulu, ujumbe utatumwa kwa anwani ya barua pepe uliyotaja iliyo na kiambatisho katika mfumo wa cheti kilichotiwa saini na mamlaka ya kati ya uthibitishaji.
Hatua 4. Sanidi seva yako ya wavuti
Ikiwa unatumia nginx kama seva yako ya wavuti, tumia usanidi ufuatao:
file domain.ygg.conf katika saraka /etc/nginx/tovuti zinazopatikana/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
file ssl-params.conf katika saraka /nk/nginx/vijisehemu/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
file domain.ygg.conf katika saraka /nk/nginx/vijisehemu/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Cheti ulichopokea kwa barua pepe lazima kinakiliwe kwa: /etc/ssl/certs/domain.ygg.crt. Ufunguo wa kibinafsi (kikoa.ygg.key) kuiweka kwenye saraka /etc/ssl/private/.
Hatua 5. Anzisha tena seva yako ya wavuti
sudo service nginx restartMtandao wa Bure nchini Urusi huanza na wewe
Unaweza kutoa msaada wote unaowezekana kwa uanzishwaji wa Mtandao wa bure nchini Urusi leo. Tumekusanya orodha kamili ya jinsi unavyoweza kusaidia mtandao:
- Waambie marafiki na wafanyakazi wenzako kuhusu mtandao wa Kati. Shiriki kwa nakala hii kwenye mitandao ya kijamii au blogi ya kibinafsi
- Shiriki katika majadiliano ya masuala ya kiufundi kwenye mtandao wa Kati
- Unda huduma yako ya wavuti kwenye mtandao wa Yggdrasil na uiongeze
- Inua yako kwa mtandao wa Kati
Matoleo yaliyotangulia:
Tazama pia:
Tuko kwenye Telegraph:
Watumiaji waliojiandikisha pekee ndio wanaweza kushiriki katika utafiti. tafadhali.
Upigaji kura Mbadala: ni muhimu kwetu kujua maoni ya wale ambao hawana akaunti kamili kuhusu Habre.
-
↑
-
↓
Watumiaji 7 walipiga kura. Watumiaji 2 walijizuia.
Chanzo: mapenzi.com