"தேசிய பாதுகாப்பு" என்ற சொற்றொடரை நாங்கள் எப்போதும் கேட்கிறோம், ஆனால் அரசாங்கம் எங்கள் தகவல்தொடர்புகளை கண்காணிக்கத் தொடங்கும் போது, நம்பத்தகுந்த சந்தேகம், சட்ட அடிப்படை மற்றும் வெளிப்படையான நோக்கமின்றி பதிவு செய்யும் போது, நாம் நம்மை நாமே கேள்வி கேட்டுக்கொள்ள வேண்டும்: அவர்கள் உண்மையில் தேசிய பாதுகாப்பைப் பாதுகாக்கிறார்களா அல்லது அவர்கள் தங்களைப் பாதுகாக்கிறார்களா?
- எட்வர்டு ஸ்னோடென்
தனியுரிமைப் பிரச்சினையில் சமூகத்தின் ஆர்வத்தை அதிகரிப்பதற்காக இந்த டைஜெஸ்ட் வடிவமைக்கப்பட்டுள்ளது. முன்னெப்போதையும் விட மிகவும் பொருத்தமானதாகிறது.
நிகழ்ச்சி நிரலில்:
பரவலாக்கப்பட்ட இணைய வழங்குநரான "மீடியம்" சமூகத்தைச் சேர்ந்த ஆர்வலர்கள் தங்கள் சொந்த தேடுபொறியை உருவாக்குகின்றனர்.
மீடியம் ஒரு புதிய சான்றிதழ் ஆணையத்தை நிறுவியுள்ளது, மீடியம் குளோபல் ரூட் CA. மாற்றங்களால் பாதிக்கப்படுவது யார்?
ஒவ்வொரு வீட்டிற்கும் பாதுகாப்பு சான்றிதழ்கள் - Yggdrasil நெட்வொர்க்கில் உங்கள் சொந்த சேவையை எவ்வாறு உருவாக்குவது மற்றும் அதற்கான சரியான SSL சான்றிதழை வழங்குவது எப்படி
எனக்கு நினைவூட்டு - "நடுத்தரம்" என்றால் என்ன?
நடுத்தர (இங்கி. நடுத்தர — “இடைத்தரகர்”, அசல் முழக்கம் — உங்கள் தனியுரிமையைக் கேட்காதீர்கள். அதை திரும்ப பெறு; ஆங்கில வார்த்தையிலும் நடுத்தர அதாவது "இடைநிலை") - நெட்வொர்க் அணுகல் சேவைகளை வழங்கும் ரஷ்ய பரவலாக்கப்பட்ட இணைய வழங்குநர் இலவசம்.
முழுப்பெயர் நடுத்தர இணைய சேவை வழங்குநர். இந்த திட்டம் முதலில் உருவாக்கப்பட்டது в .
வைஃபை வயர்லெஸ் டேட்டா டிரான்ஸ்மிஷன் தொழில்நுட்பத்தைப் பயன்படுத்தி இறுதி பயனர்களுக்கு Yggdrasil நெட்வொர்க் ஆதாரங்களுக்கான அணுகலை வழங்குவதன் மூலம் ஒரு சுயாதீன தொலைத்தொடர்பு சூழலை உருவாக்குவதன் ஒரு பகுதியாக ஏப்ரல் 2019 இல் உருவாக்கப்பட்டது.
தலைப்பில் மேலும் தகவல்:
பரவலாக்கப்பட்ட இணைய வழங்குநரான "மீடியம்" சமூகத்தைச் சேர்ந்த ஆர்வலர்கள் தங்கள் சொந்த தேடுபொறியை உருவாக்குகின்றனர்.
முதலில் ஆன்லைனில் , பரவலாக்கப்பட்ட இணைய சேவை வழங்குநரான மீடியம் ஒரு போக்குவரமாகப் பயன்படுத்துகிறது, அதன் சொந்த DNS சேவையகம் அல்லது பொது விசை உள்கட்டமைப்பு இல்லை - இருப்பினும், நடுத்தர நெட்வொர்க் சேவைகளுக்கான பாதுகாப்பு சான்றிதழ்களை வழங்க வேண்டிய அவசியம் இந்த இரண்டு சிக்கல்களையும் தீர்த்தது.
பெட்டிக்கு வெளியே Yggdrasil சகாக்களிடையே போக்குவரத்தை என்க்ரிப்ட் செய்யும் திறனை வழங்கினால், உங்களுக்கு ஏன் PKI தேவை?உள்ளூரில் இயங்கும் Yggdrasil நெட்வொர்க் ரூட்டர் மூலம் Yggdrasil நெட்வொர்க்கில் இணைய சேவைகளை இணைத்தால், HTTPSஐப் பயன்படுத்த வேண்டிய அவசியமில்லை.
உண்மையில்: Yggdrasil போக்குவரத்து சம அளவில் உள்ளது Yggdrasil நெட்வொர்க்கில் உள்ள வளங்களைப் பாதுகாப்பாகப் பயன்படுத்த உங்களை அனுமதிக்கிறது - நடத்தும் திறன் முற்றிலும் விலக்கப்பட்டது.
Yggdarsil இன் இன்ட்ராநெட் ஆதாரங்களை நீங்கள் நேரடியாக அணுகினால், ஆனால் ஒரு இடைநிலை முனை - அதன் ஆபரேட்டரால் நிர்வகிக்கப்படும் நடுத்தர நெட்வொர்க் அணுகல் புள்ளி மூலம் நிலைமை தீவிரமாக மாறுகிறது.
இந்த வழக்கில், நீங்கள் அனுப்பும் தரவை யார் சமரசம் செய்ய முடியும்:
- அணுகல் புள்ளி ஆபரேட்டர். மீடியம் நெட்வொர்க் அணுகல் புள்ளியின் தற்போதைய ஆபரேட்டர் அதன் உபகரணங்களின் வழியாக செல்லும் மறைகுறியாக்கப்படாத போக்குவரத்தை கேட்க முடியும் என்பது வெளிப்படையானது.
- ஊடுருவி () மீடியம் போன்ற பிரச்சனை உள்ளது , உள்ளீடு மற்றும் இடைநிலை முனைகள் தொடர்பாக மட்டுமே.
இப்படித்தான் தெரிகிறது
முடிவு: Yggdrasil நெட்வொர்க்கிற்குள் இணைய சேவைகளை அணுக, HTTPS நெறிமுறையைப் பயன்படுத்தவும் (நிலை 7 ) பிரச்சனை என்னவென்றால், Yggdrasil நெட்வொர்க் சேவைகளுக்கான உண்மையான பாதுகாப்பு சான்றிதழை வழக்கமான வழிகளில் வழங்க முடியாது. .
எனவே, நாங்கள் எங்கள் சொந்த சான்றிதழ் மையத்தை நிறுவினோம் - . மீடியம் நெட்வொர்க்கில் உள்ள பெரும்பாலான சேவைகள் இடைநிலைச் சான்றிதழ் ஆணையத்தின் ரூட் பாதுகாப்புச் சான்றிதழால் கையொப்பமிடப்பட்டுள்ளன.
சான்றிதழ் அதிகாரத்தின் மூலச் சான்றிதழை சமரசம் செய்வதற்கான சாத்தியக்கூறு, நிச்சயமாக, கணக்கில் எடுத்துக்கொள்ளப்பட்டது - ஆனால் இங்கே தரவு பரிமாற்றத்தின் ஒருமைப்பாட்டை உறுதிப்படுத்தவும் MITM தாக்குதல்களின் சாத்தியத்தை அகற்றவும் சான்றிதழ் மிகவும் அவசியம்.
வெவ்வேறு ஆபரேட்டர்களின் நடுத்தர நெட்வொர்க் சேவைகள் வெவ்வேறு பாதுகாப்புச் சான்றிதழ்களைக் கொண்டுள்ளன, ஒரு வழி அல்லது வேறு ரூட் சான்றிதழ் ஆணையத்தால் கையொப்பமிடப்படுகின்றன. இருப்பினும், ரூட் CA ஆபரேட்டர்கள் பாதுகாப்புச் சான்றிதழில் கையொப்பமிட்டுள்ள சேவைகளில் இருந்து மறைகுறியாக்கப்பட்ட போக்குவரத்தைக் கேட்க முடியாது (பார்க்க ).
குறிப்பாக தங்கள் பாதுகாப்பில் அக்கறை உள்ளவர்கள் கூடுதல் பாதுகாப்பு போன்ற வழிகளைப் பயன்படுத்தலாம் и .
தற்போது, மீடியம் நெட்வொர்க்கின் பொது விசை உள்கட்டமைப்பு நெறிமுறையைப் பயன்படுத்தி சான்றிதழின் நிலையை சரிபார்க்கும் திறனைக் கொண்டுள்ளது. அல்லது பயன்பாட்டின் மூலம் .
புள்ளியைப் பெறுங்கள்
பயனர் Yggdrasil நெட்வொர்க்கில் அமைந்துள்ள இணைய சேவைகளுக்கான தேடுபொறியை உருவாக்கத் தொடங்கியது. ஒரு முக்கியமான அம்சம் என்னவென்றால், தேடலின் போது சேவைகளின் IPv6 முகவரிகளைத் தீர்மானிப்பது நடுத்தர நெட்வொர்க்கில் உள்ள DNS சேவையகத்திற்கு கோரிக்கையை அனுப்புவதன் மூலம் மேற்கொள்ளப்படுகிறது.
முக்கிய TLD ஆகும் .ygg. இரண்டு விதிவிலக்குகளுடன் பெரும்பாலான டொமைன் பெயர்கள் இந்த TLD ஐக் கொண்டுள்ளன: .isp и .gg.
தேடுபொறி வளர்ச்சியில் உள்ளது, ஆனால் அதன் பயன்பாடு இன்று சாத்தியமாகும் - வலைத்தளத்தைப் பார்வையிடவும் .
திட்டத்தின் வளர்ச்சிக்கு நீங்கள் உதவலாம், .
மீடியம் ஒரு புதிய சான்றிதழ் ஆணையத்தை நிறுவியுள்ளது, மீடியம் குளோபல் ரூட் CA. மாற்றங்களால் பாதிக்கப்படுவது யார்?
நேற்று, மீடியம் ரூட் CA சான்றிதழ் மையத்தின் செயல்பாட்டின் பொது சோதனை முடிந்தது. சோதனையின் முடிவில், பொது விசை உள்கட்டமைப்பு சேவைகளின் செயல்பாட்டில் உள்ள பிழைகள் சரி செய்யப்பட்டு, "மீடியம் குளோபல் ரூட் CA" சான்றிதழ் ஆணையத்தின் புதிய ரூட் சான்றிதழ் உருவாக்கப்பட்டது.
PKI இன் அனைத்து நுணுக்கங்களும் அம்சங்களும் கணக்கில் எடுத்துக்கொள்ளப்பட்டன - இப்போது புதிய CA சான்றிதழ் “நடுத்தர குளோபல் ரூட் CA” பத்து ஆண்டுகளுக்குப் பிறகு (அதன் காலாவதி தேதிக்குப் பிறகு) வழங்கப்படும். இப்போது பாதுகாப்புச் சான்றிதழ்கள் இடைநிலை சான்றிதழ் அதிகாரிகளால் மட்டுமே வழங்கப்படுகின்றன - எடுத்துக்காட்டாக, “நடுத்தர டொமைன் சரிபார்ப்பு பாதுகாப்பான சர்வர் CA”.
சான்றிதழ் நம்பிக்கை சங்கிலி இப்போது எப்படி இருக்கும்?
நீங்கள் ஒரு பயனராக இருந்தால் அனைத்தும் செயல்பட என்ன செய்ய வேண்டும்:
சில சேவைகள் HSTS ஐப் பயன்படுத்துவதால், நடுத்தர நெட்வொர்க் ஆதாரங்களைப் பயன்படுத்துவதற்கு முன்பு, நீங்கள் நடுத்தர அக இணைய ஆதாரங்களில் இருந்து தரவை நீக்க வேண்டும். உங்கள் உலாவியின் வரலாறு தாவலில் இதைச் செய்யலாம்.
இது அவசியமும் கூட "நடுத்தர குளோபல் ரூட் CA" சான்றிதழ் மையம்.
நீங்கள் ஒரு சிஸ்டம் ஆபரேட்டராக இருந்தால் எல்லாம் செயல்பட என்ன செய்ய வேண்டும்:
பக்கத்தில் உங்கள் சேவைக்கான சான்றிதழை மீண்டும் வெளியிட வேண்டும் (நடுத்தர நெட்வொர்க்கில் மட்டுமே சேவை கிடைக்கும்).
ஒவ்வொரு வீட்டிற்கும் பாதுகாப்பு சான்றிதழ்கள் - Yggdrasil நெட்வொர்க்கில் உங்கள் சொந்த சேவையை எவ்வாறு உருவாக்குவது மற்றும் அதற்கான சரியான SSL சான்றிதழை வழங்குவது எப்படி
மீடியம் நெட்வொர்க்கில் உள்ள இன்ட்ராநெட் சேவைகளின் எண்ணிக்கையின் வளர்ச்சியின் காரணமாக, புதிய பாதுகாப்புச் சான்றிதழ்களை வழங்குவது மற்றும் SSL ஐ ஆதரிக்கும் வகையில் அவற்றின் சேவைகளை உள்ளமைக்க வேண்டிய அவசியம் அதிகரித்துள்ளது.
ஹப்ர் ஒரு தொழில்நுட்ப ஆதாரமாக இருப்பதால், ஒவ்வொரு புதிய டைஜஸ்டிலும் நிகழ்ச்சி நிரல் உருப்படிகளில் ஒன்று நடுத்தர நெட்வொர்க் உள்கட்டமைப்பின் தொழில்நுட்ப அம்சங்களை வெளிப்படுத்தும். எடுத்துக்காட்டாக, உங்கள் சேவைக்கான SSL சான்றிதழை வழங்குவதற்கான விரிவான வழிமுறைகள் கீழே உள்ளன.
எடுத்துக்காட்டுகள் டொமைன் பெயரைக் குறிக்கும் domain.ygg, இது உங்கள் சேவையின் டொமைன் பெயருடன் மாற்றப்பட வேண்டும்.
1 படி. தனிப்பட்ட விசை மற்றும் Diffie-Hellman அளவுருக்களை உருவாக்கவும்
openssl genrsa -out domain.ygg.key 2048பின்னர்:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 20482 படி. சான்றிதழ் கையொப்ப கோரிக்கையை உருவாக்கவும்
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confகோப்பு உள்ளடக்கங்கள் domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 படி. சான்றிதழ் கோரிக்கையை சமர்ப்பிக்கவும்
இதைச் செய்ய, கோப்பின் உள்ளடக்கங்களை நகலெடுக்கவும் domain.ygg.csr மற்றும் அதை தளத்தில் உள்ள உரை புலத்தில் ஒட்டவும் .
இணையதளத்தில் வழங்கப்பட்ட வழிமுறைகளைப் பின்பற்றவும், பின்னர் "சமர்ப்பி" என்பதைக் கிளிக் செய்யவும். வெற்றியடைந்தால், நீங்கள் குறிப்பிட்ட மின்னஞ்சல் முகவரிக்கு ஒரு செய்தி அனுப்பப்படும், அதில் ஒரு இடைநிலை சான்றிதழ் ஆணையத்தால் கையொப்பமிடப்பட்ட சான்றிதழின் வடிவத்தில் இணைப்பு உள்ளது.
4 படி. உங்கள் இணைய சேவையகத்தை அமைக்கவும்
உங்கள் வலை சேவையகமாக nginx ஐப் பயன்படுத்தினால், பின்வரும் உள்ளமைவைப் பயன்படுத்தவும்:
கோப்பு domain.ygg.conf அடைவில் /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
கோப்பு ssl-params.conf அடைவில் /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
கோப்பு domain.ygg.conf அடைவில் /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
மின்னஞ்சலில் நீங்கள் பெற்ற சான்றிதழ் நகலெடுக்கப்பட வேண்டும்: /etc/ssl/certs/domain.ygg.crt. தனிப்பட்ட விசை (domain.ygg.key) அதை ஒரு கோப்பகத்தில் வைக்கவும் /etc/ssl/private/.
5 படி. உங்கள் இணைய சேவையகத்தை மறுதொடக்கம் செய்யுங்கள்
sudo service nginx restartரஷ்யாவில் இலவச இணையம் உங்களிடமிருந்து தொடங்குகிறது
இன்று ரஷ்யாவில் இலவச இணையத்தை நிறுவுவதற்கு நீங்கள் அனைத்து உதவிகளையும் செய்யலாம். நெட்வொர்க்கிற்கு நீங்கள் எவ்வாறு உதவலாம் என்பதற்கான விரிவான பட்டியலை நாங்கள் தொகுத்துள்ளோம்:
- மீடியம் நெட்வொர்க் பற்றி உங்கள் நண்பர்கள் மற்றும் சக ஊழியர்களிடம் சொல்லுங்கள். பகிர் சமூக வலைப்பின்னல்கள் அல்லது தனிப்பட்ட வலைப்பதிவில் இந்த கட்டுரைக்கு
- நடுத்தர நெட்வொர்க்கின் தொழில்நுட்ப சிக்கல்களின் விவாதத்தில் பங்கேற்கவும்
- Yggdrasil நெட்வொர்க்கில் உங்கள் இணைய சேவையை உருவாக்கி அதைச் சேர்க்கவும்
- உங்கள் உயர்த்தவும் நடுத்தர நெட்வொர்க்கிற்கு
முந்தைய வெளியீடுகள்:
மேலும் வாசிக்க:
நாங்கள் டெலிகிராமில் இருக்கிறோம்:
பதிவு செய்த பயனர்கள் மட்டுமே கணக்கெடுப்பில் பங்கேற்க முடியும். , தயவு செய்து.
மாற்று வாக்களிப்பு: Habré இல் முழு கணக்கு இல்லாதவர்களின் கருத்தை நாம் அறிந்து கொள்வது முக்கியம்
-
↑
-
↓
7 பயனர்கள் வாக்களித்தனர். 2 பயனர்கள் வாக்களிக்கவில்லை.
ஆதாரம்: www.habr.com