ProHoster > blog > Utawala > Muhtasari wa Kati wa Kila Wiki #5 (9 - 16 Ago 2019)
Muhtasari wa Kati wa Kila Wiki #5 (9 - 16 Ago 2019)
Tunasikia msemo wa “usalama wa taifa” kila mara, lakini serikali inapoanza kufuatilia mawasiliano yetu, kuyarekodi bila mashaka ya kuaminika, misingi ya kisheria na bila malengo yoyote ya msingi, lazima tujiulize swali: ni kweli wanalinda usalama wa taifa au wanalinda wao wenyewe?
- Edward Snowden
Muhtasari huu unakusudiwa kuongeza hamu ya Jumuiya katika suala la faragha, ambalo, kwa kuzingatia matukio ya hivi karibuni inakuwa muhimu zaidi kuliko hapo awali.
Katika ajenda:
Wapenzi kutoka kwa jumuiya ya mtoa huduma wa Intaneti aliye na mamlaka "Kati" wanaunda injini yao ya utafutaji
Medium imeanzisha mamlaka mpya ya uidhinishaji, Medium Global Root CA. Nani ataathiriwa na mabadiliko?
Vyeti vya usalama kwa kila nyumba - jinsi ya kuunda huduma yako mwenyewe kwenye mtandao wa Yggdrasil na kutoa cheti halali cha SSL kwa hiyo
Nikumbushe - "Kati" ni nini?
Kati (Kiingereza Kati - "mpatanishi", kauli mbiu ya asili - Usiulize faragha yako. Irudishe; pia kwa Kiingereza neno kati inamaanisha "kati") - mtoa huduma wa mtandao wa Kirusi aliyegatuliwa anayetoa huduma za ufikiaji wa mtandao Yggdrasil Bure.
Iliundwa mnamo Aprili 2019 kama sehemu ya uundaji wa mazingira huru ya mawasiliano ya simu kwa kuwapa watumiaji wa mwisho ufikiaji wa rasilimali za mtandao wa Yggdrasil kwa kutumia teknolojia ya utumaji data isiyo na waya ya Wi-Fi.
Wapenzi kutoka kwa jumuiya ya mtoa huduma wa Intaneti aliye na mamlaka "Kati" wanaunda injini yao ya utafutaji
Awali mtandaoni Yggdrasil, ambayo mtoa huduma wa Intaneti aliyegatuliwa wa Medium hutumia kama usafiri, hakuwa na seva yake ya DNS au miundombinu muhimu ya umma - hata hivyo, haja ya kutoa vyeti vya usalama kwa huduma za mtandao wa Kati ilitatua matatizo haya mawili.
Kwa nini unahitaji PKI ikiwa Yggdrasil nje ya kisanduku hutoa uwezo wa kusimba trafiki kati ya programu zingine kwa njia fiche?Hakuna haja ya kutumia HTTPS kuunganisha kwa huduma za wavuti kwenye mtandao wa Yggdrasil ukiunganisha nazo kupitia kipanga njia cha mtandao cha Yggdrasil inayoendeshwa ndani ya nchi.
Hakika: Usafiri wa Yggdrasil uko sawa itifaki hukuruhusu kutumia rasilimali kwa usalama ndani ya mtandao wa Yggdrasil - uwezo wa kufanya Mashambulizi ya MITM kutengwa kabisa.
Hali inabadilika sana ikiwa unapata rasilimali za intraneti za Yggdarsil sio moja kwa moja, lakini kupitia nodi ya kati - eneo la ufikiaji wa mtandao wa Kati, ambao unasimamiwa na mwendeshaji wake.
Katika kesi hii, ni nani anayeweza kuathiri data unayosambaza:
Opereta wa sehemu ya ufikiaji. Ni dhahiri kwamba mwendeshaji wa sasa wa kituo cha ufikiaji wa mtandao wa Kati anaweza kusikiliza trafiki ambayo haijasimbwa ambayo hupitia vifaa vyake.
uamuzi: ili kufikia huduma za wavuti ndani ya mtandao wa Yggdrasil, tumia itifaki ya HTTPS (kiwango cha 7 Mifano ya OSI) Shida ni kwamba haiwezekani kutoa cheti cha usalama halisi kwa huduma za mtandao wa Yggdrasil kupitia njia za kawaida kama vile Hebu Turuhusu.
Kwa hivyo, tulianzisha kituo chetu cha uthibitisho - "Medium Global Root CA". Idadi kubwa ya huduma za mtandao wa Wastani zimetiwa saini na cheti cha usalama cha msingi cha mamlaka ya kati ya uthibitishaji "Seva ya Usalama ya Seva ya Kati ya Uthibitishaji wa Kikoa".
Uwezekano wa kuhatarisha cheti cha mizizi ya mamlaka ya vyeti ilikuwa, bila shaka, kuzingatiwa - lakini hapa cheti ni muhimu zaidi ili kuthibitisha uadilifu wa maambukizi ya data na kuondoa uwezekano wa mashambulizi ya MITM.
Huduma za mtandao wa kati kutoka kwa waendeshaji tofauti zina vyeti tofauti vya usalama, kwa njia moja au nyingine vilivyotiwa saini na mamlaka ya uthibitishaji wa mizizi. Hata hivyo, waendeshaji wa Root CA hawawezi kusikiliza trafiki iliyosimbwa kutoka kwa huduma ambazo wametia saini vyeti vya usalama (tazama "CSR ni nini?").
Wale ambao wanajali sana usalama wao wanaweza kutumia njia kama vile ulinzi wa ziada, kama vile PGP и sawa.
Hivi sasa, miundombinu muhimu ya umma ya mtandao wa Kati ina uwezo wa kuangalia hali ya cheti kwa kutumia itifaki OCSP au kwa kutumia C.R.L..
Fika kwenye uhakika
Mtumiaji @NXShock ilianza kutengeneza injini ya utafutaji ya huduma za wavuti iliyo kwenye mtandao wa Yggdrasil. Kipengele muhimu ni ukweli kwamba uamuzi wa anwani za IPv6 za huduma wakati wa kufanya utafutaji unafanywa kwa kutuma ombi kwa seva ya DNS iliyoko ndani ya mtandao wa Kati.
TLD kuu ni .ygg. Majina mengi ya kikoa yana TLD hii, isipokuwa mbili: .isp и .gg.
Injini ya utafutaji iko chini ya maendeleo, lakini matumizi yake tayari yanawezekana leo - tembelea tovuti tu tafuta.kati.isp.
Medium imeanzisha mamlaka mpya ya uidhinishaji, Medium Global Root CA. Nani ataathiriwa na mabadiliko?
Jana, majaribio ya hadharani ya utendakazi wa kituo cha uidhinishaji cha Medium Root CA yalikamilishwa. Mwishoni mwa majaribio, makosa katika utendakazi wa huduma muhimu za miundombinu ya umma yalisahihishwa na cheti kipya cha msingi cha mamlaka ya uthibitishaji "Medium Global Root CA" iliundwa.
Nuances na huduma zote za PKI zilizingatiwa - sasa cheti kipya cha CA "Medium Global Root CA" kitatolewa miaka kumi tu baadaye (baada ya tarehe ya kumalizika muda wake). Sasa vyeti vya usalama vinatolewa na mamlaka ya kati ya uidhinishaji pekee - kwa mfano, "Seva ya Usalama ya Seva ya Kati ya Uthibitishaji wa Kikoa CA".
Je, msururu wa uaminifu wa cheti unaonekanaje sasa?
Nini kinahitajika kufanywa ili kila kitu kifanye kazi ikiwa wewe ni mtumiaji:
Kwa kuwa huduma zingine hutumia HSTS, kabla ya kutumia rasilimali za mtandao wa Wastani, lazima ufute data kutoka kwa rasilimali za intranet ya Kati. Unaweza kufanya hivyo katika kichupo cha Historia cha kivinjari chako.
Ni nini kinachohitajika kufanywa ili kufanya kila kitu kifanye kazi ikiwa wewe ni mwendeshaji wa mfumo:
Unahitaji kutoa tena cheti cha huduma yako kwenye ukurasa pki.kati.isp (huduma inapatikana tu kwenye mtandao wa Kati).
Vyeti vya usalama kwa kila nyumba - jinsi ya kuunda huduma yako mwenyewe kwenye mtandao wa Yggdrasil na kutoa cheti halali cha SSL kwa hiyo
Kwa sababu ya ukuaji wa idadi ya huduma za intraneti kwenye mtandao wa Kati, hitaji la kutoa vyeti vipya vya usalama na kusanidi huduma zao ili kuunga mkono SSL imeongezeka.
Kwa kuwa Habr ni nyenzo ya kiufundi, katika kila muhtasari mpya moja ya vipengee vya ajenda itafichua vipengele vya kiufundi vya miundombinu ya mtandao wa Kati. Kwa mfano, hapa chini kuna maagizo ya kina ya kutoa cheti cha SSL kwa huduma yako.
Mifano itaonyesha jina la kikoa kikoa.ygg, ambayo lazima ibadilishwe na jina la kikoa la huduma yako.
Hatua 1. Tengeneza ufunguo wa kibinafsi na vigezo vya Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Hatua 3. Peana ombi la cheti
Ili kufanya hivyo, nakili yaliyomo kwenye faili domain.ygg.csr na ubandike kwenye uwanja wa maandishi kwenye tovuti pki.kati.isp.
Fuata maagizo yaliyotolewa kwenye tovuti, kisha ubofye "Wasilisha". Ikifaulu, ujumbe utatumwa kwa anwani ya barua pepe uliyotaja iliyo na kiambatisho katika mfumo wa cheti kilichotiwa saini na mamlaka ya kati ya uthibitishaji.
Hatua 4. Sanidi seva yako ya wavuti
Ikiwa unatumia nginx kama seva yako ya wavuti, tumia usanidi ufuatao:
file domain.ygg.conf katika saraka /etc/nginx/tovuti zinazopatikana/
Cheti ulichopokea kwa barua pepe lazima kinakiliwe kwa: /etc/ssl/certs/domain.ygg.crt. Ufunguo wa kibinafsi (kikoa.ygg.key) kuiweka kwenye saraka /etc/ssl/private/.
Hatua 5. Anzisha tena seva yako ya wavuti
sudo service nginx restart
Mtandao wa Bure nchini Urusi huanza na wewe
Unaweza kutoa msaada wote unaowezekana kwa uanzishwaji wa Mtandao wa bure nchini Urusi leo. Tumekusanya orodha kamili ya jinsi unavyoweza kusaidia mtandao:
Waambie marafiki na wafanyakazi wenzako kuhusu mtandao wa Kati. Shiriki kumbukumbu kwa nakala hii kwenye mitandao ya kijamii au blogi ya kibinafsi
Shiriki katika majadiliano ya masuala ya kiufundi kwenye mtandao wa Kati kwenye GitHub
Unda huduma yako ya wavuti kwenye mtandao wa Yggdrasil na uiongeze DNS ya mtandao wa Kati