"தேசிய பாதுகாப்பு" என்ற சொற்றொடரை நாங்கள் எப்போதும் கேட்கிறோம், ஆனால் அரசாங்கம் எங்கள் தகவல்தொடர்புகளை கண்காணிக்கத் தொடங்கும் போது, நம்பத்தகுந்த சந்தேகம், சட்ட அடிப்படை மற்றும் வெளிப்படையான நோக்கமின்றி பதிவு செய்யும் போது, நாம் நம்மை நாமே கேள்வி கேட்டுக்கொள்ள வேண்டும்: அவர்கள் உண்மையில் தேசிய பாதுகாப்பைப் பாதுகாக்கிறார்களா அல்லது அவர்கள் தங்களைப் பாதுகாக்கிறார்களா?
- எட்வர்டு ஸ்னோடென்
தனியுரிமைப் பிரச்சினையில் சமூகத்தின் ஆர்வத்தை அதிகரிப்பதற்காக இந்த டைஜெஸ்ட் வடிவமைக்கப்பட்டுள்ளது. சமீபத்திய நிகழ்வுகள் முன்னெப்போதையும் விட மிகவும் பொருத்தமானதாகிறது.
நிகழ்ச்சி நிரலில்:
பரவலாக்கப்பட்ட இணைய வழங்குநரான "மீடியம்" சமூகத்தைச் சேர்ந்த ஆர்வலர்கள் தங்கள் சொந்த தேடுபொறியை உருவாக்குகின்றனர்.
மீடியம் ஒரு புதிய சான்றிதழ் ஆணையத்தை நிறுவியுள்ளது, மீடியம் குளோபல் ரூட் CA. மாற்றங்களால் பாதிக்கப்படுவது யார்?
ஒவ்வொரு வீட்டிற்கும் பாதுகாப்பு சான்றிதழ்கள் - Yggdrasil நெட்வொர்க்கில் உங்கள் சொந்த சேவையை எவ்வாறு உருவாக்குவது மற்றும் அதற்கான சரியான SSL சான்றிதழை வழங்குவது எப்படி
எனக்கு நினைவூட்டு - "நடுத்தரம்" என்றால் என்ன?
நடுத்தர (இங்கி. நடுத்தர — “இடைத்தரகர்”, அசல் முழக்கம் — உங்கள் தனியுரிமையைக் கேட்காதீர்கள். அதை திரும்ப பெறு; ஆங்கில வார்த்தையிலும் நடுத்தர அதாவது "இடைநிலை") - நெட்வொர்க் அணுகல் சேவைகளை வழங்கும் ரஷ்ய பரவலாக்கப்பட்ட இணைய வழங்குநர் Yggdrasil இலவசம்.
வைஃபை வயர்லெஸ் டேட்டா டிரான்ஸ்மிஷன் தொழில்நுட்பத்தைப் பயன்படுத்தி இறுதி பயனர்களுக்கு Yggdrasil நெட்வொர்க் ஆதாரங்களுக்கான அணுகலை வழங்குவதன் மூலம் ஒரு சுயாதீன தொலைத்தொடர்பு சூழலை உருவாக்குவதன் ஒரு பகுதியாக ஏப்ரல் 2019 இல் உருவாக்கப்பட்டது.
பரவலாக்கப்பட்ட இணைய வழங்குநரான "மீடியம்" சமூகத்தைச் சேர்ந்த ஆர்வலர்கள் தங்கள் சொந்த தேடுபொறியை உருவாக்குகின்றனர்.
முதலில் ஆன்லைனில் Yggdrasil, பரவலாக்கப்பட்ட இணைய சேவை வழங்குநரான மீடியம் ஒரு போக்குவரமாகப் பயன்படுத்துகிறது, அதன் சொந்த DNS சேவையகம் அல்லது பொது விசை உள்கட்டமைப்பு இல்லை - இருப்பினும், நடுத்தர நெட்வொர்க் சேவைகளுக்கான பாதுகாப்பு சான்றிதழ்களை வழங்க வேண்டிய அவசியம் இந்த இரண்டு சிக்கல்களையும் தீர்த்தது.
பெட்டிக்கு வெளியே Yggdrasil சகாக்களிடையே போக்குவரத்தை என்க்ரிப்ட் செய்யும் திறனை வழங்கினால், உங்களுக்கு ஏன் PKI தேவை?உள்ளூரில் இயங்கும் Yggdrasil நெட்வொர்க் ரூட்டர் மூலம் Yggdrasil நெட்வொர்க்கில் இணைய சேவைகளை இணைத்தால், HTTPSஐப் பயன்படுத்த வேண்டிய அவசியமில்லை.
உண்மையில்: Yggdrasil போக்குவரத்து சம அளவில் உள்ளது நெறிமுறை Yggdrasil நெட்வொர்க்கில் உள்ள வளங்களைப் பாதுகாப்பாகப் பயன்படுத்த உங்களை அனுமதிக்கிறது - நடத்தும் திறன் MITM தாக்குதல்கள் முற்றிலும் விலக்கப்பட்டது.
Yggdarsil இன் இன்ட்ராநெட் ஆதாரங்களை நீங்கள் நேரடியாக அணுகினால், ஆனால் ஒரு இடைநிலை முனை - அதன் ஆபரேட்டரால் நிர்வகிக்கப்படும் நடுத்தர நெட்வொர்க் அணுகல் புள்ளி மூலம் நிலைமை தீவிரமாக மாறுகிறது.
இந்த வழக்கில், நீங்கள் அனுப்பும் தரவை யார் சமரசம் செய்ய முடியும்:
அணுகல் புள்ளி ஆபரேட்டர். மீடியம் நெட்வொர்க் அணுகல் புள்ளியின் தற்போதைய ஆபரேட்டர் அதன் உபகரணங்களின் வழியாக செல்லும் மறைகுறியாக்கப்படாத போக்குவரத்தை கேட்க முடியும் என்பது வெளிப்படையானது.
முடிவு: Yggdrasil நெட்வொர்க்கிற்குள் இணைய சேவைகளை அணுக, HTTPS நெறிமுறையைப் பயன்படுத்தவும் (நிலை 7 OSI மாதிரிகள்) பிரச்சனை என்னவென்றால், Yggdrasil நெட்வொர்க் சேவைகளுக்கான உண்மையான பாதுகாப்பு சான்றிதழை வழக்கமான வழிகளில் வழங்க முடியாது. என்க்ரிப்ட்.
எனவே, நாங்கள் எங்கள் சொந்த சான்றிதழ் மையத்தை நிறுவினோம் - "மீடியம் குளோபல் ரூட் CA". மீடியம் நெட்வொர்க்கில் உள்ள பெரும்பாலான சேவைகள் இடைநிலைச் சான்றிதழ் ஆணையத்தின் ரூட் பாதுகாப்புச் சான்றிதழால் கையொப்பமிடப்பட்டுள்ளன.
சான்றிதழ் அதிகாரத்தின் மூலச் சான்றிதழை சமரசம் செய்வதற்கான சாத்தியக்கூறு, நிச்சயமாக, கணக்கில் எடுத்துக்கொள்ளப்பட்டது - ஆனால் இங்கே தரவு பரிமாற்றத்தின் ஒருமைப்பாட்டை உறுதிப்படுத்தவும் MITM தாக்குதல்களின் சாத்தியத்தை அகற்றவும் சான்றிதழ் மிகவும் அவசியம்.
வெவ்வேறு ஆபரேட்டர்களின் நடுத்தர நெட்வொர்க் சேவைகள் வெவ்வேறு பாதுகாப்புச் சான்றிதழ்களைக் கொண்டுள்ளன, ஒரு வழி அல்லது வேறு ரூட் சான்றிதழ் ஆணையத்தால் கையொப்பமிடப்படுகின்றன. இருப்பினும், ரூட் CA ஆபரேட்டர்கள் பாதுகாப்புச் சான்றிதழில் கையொப்பமிட்டுள்ள சேவைகளில் இருந்து மறைகுறியாக்கப்பட்ட போக்குவரத்தைக் கேட்க முடியாது (பார்க்க "சிஎஸ்ஆர் என்றால் என்ன?").
குறிப்பாக தங்கள் பாதுகாப்பில் அக்கறை உள்ளவர்கள் கூடுதல் பாதுகாப்பு போன்ற வழிகளைப் பயன்படுத்தலாம் பிஜிபி и ஒத்த.
தற்போது, மீடியம் நெட்வொர்க்கின் பொது விசை உள்கட்டமைப்பு நெறிமுறையைப் பயன்படுத்தி சான்றிதழின் நிலையை சரிபார்க்கும் திறனைக் கொண்டுள்ளது. OCSP அல்லது பயன்பாட்டின் மூலம் சிஆர் எல்.
புள்ளியைப் பெறுங்கள்
பயனர் @NXShock Yggdrasil நெட்வொர்க்கில் அமைந்துள்ள இணைய சேவைகளுக்கான தேடுபொறியை உருவாக்கத் தொடங்கியது. ஒரு முக்கியமான அம்சம் என்னவென்றால், தேடலின் போது சேவைகளின் IPv6 முகவரிகளைத் தீர்மானிப்பது நடுத்தர நெட்வொர்க்கில் உள்ள DNS சேவையகத்திற்கு கோரிக்கையை அனுப்புவதன் மூலம் மேற்கொள்ளப்படுகிறது.
முக்கிய TLD ஆகும் .ygg. இரண்டு விதிவிலக்குகளுடன் பெரும்பாலான டொமைன் பெயர்கள் இந்த TLD ஐக் கொண்டுள்ளன: .isp и .gg.
தேடுபொறி வளர்ச்சியில் உள்ளது, ஆனால் அதன் பயன்பாடு இன்று சாத்தியமாகும் - வலைத்தளத்தைப் பார்வையிடவும் search.medium.isp.
மீடியம் ஒரு புதிய சான்றிதழ் ஆணையத்தை நிறுவியுள்ளது, மீடியம் குளோபல் ரூட் CA. மாற்றங்களால் பாதிக்கப்படுவது யார்?
நேற்று, மீடியம் ரூட் CA சான்றிதழ் மையத்தின் செயல்பாட்டின் பொது சோதனை முடிந்தது. சோதனையின் முடிவில், பொது விசை உள்கட்டமைப்பு சேவைகளின் செயல்பாட்டில் உள்ள பிழைகள் சரி செய்யப்பட்டு, "மீடியம் குளோபல் ரூட் CA" சான்றிதழ் ஆணையத்தின் புதிய ரூட் சான்றிதழ் உருவாக்கப்பட்டது.
PKI இன் அனைத்து நுணுக்கங்களும் அம்சங்களும் கணக்கில் எடுத்துக்கொள்ளப்பட்டன - இப்போது புதிய CA சான்றிதழ் “நடுத்தர குளோபல் ரூட் CA” பத்து ஆண்டுகளுக்குப் பிறகு (அதன் காலாவதி தேதிக்குப் பிறகு) வழங்கப்படும். இப்போது பாதுகாப்புச் சான்றிதழ்கள் இடைநிலை சான்றிதழ் அதிகாரிகளால் மட்டுமே வழங்கப்படுகின்றன - எடுத்துக்காட்டாக, “நடுத்தர டொமைன் சரிபார்ப்பு பாதுகாப்பான சர்வர் CA”.
சான்றிதழ் நம்பிக்கை சங்கிலி இப்போது எப்படி இருக்கும்?
நீங்கள் ஒரு பயனராக இருந்தால் அனைத்தும் செயல்பட என்ன செய்ய வேண்டும்:
சில சேவைகள் HSTS ஐப் பயன்படுத்துவதால், நடுத்தர நெட்வொர்க் ஆதாரங்களைப் பயன்படுத்துவதற்கு முன்பு, நீங்கள் நடுத்தர அக இணைய ஆதாரங்களில் இருந்து தரவை நீக்க வேண்டும். உங்கள் உலாவியின் வரலாறு தாவலில் இதைச் செய்யலாம்.
நீங்கள் ஒரு சிஸ்டம் ஆபரேட்டராக இருந்தால் எல்லாம் செயல்பட என்ன செய்ய வேண்டும்:
பக்கத்தில் உங்கள் சேவைக்கான சான்றிதழை மீண்டும் வெளியிட வேண்டும் pki.medium.isp (நடுத்தர நெட்வொர்க்கில் மட்டுமே சேவை கிடைக்கும்).
ஒவ்வொரு வீட்டிற்கும் பாதுகாப்பு சான்றிதழ்கள் - Yggdrasil நெட்வொர்க்கில் உங்கள் சொந்த சேவையை எவ்வாறு உருவாக்குவது மற்றும் அதற்கான சரியான SSL சான்றிதழை வழங்குவது எப்படி
மீடியம் நெட்வொர்க்கில் உள்ள இன்ட்ராநெட் சேவைகளின் எண்ணிக்கையின் வளர்ச்சியின் காரணமாக, புதிய பாதுகாப்புச் சான்றிதழ்களை வழங்குவது மற்றும் SSL ஐ ஆதரிக்கும் வகையில் அவற்றின் சேவைகளை உள்ளமைக்க வேண்டிய அவசியம் அதிகரித்துள்ளது.
ஹப்ர் ஒரு தொழில்நுட்ப ஆதாரமாக இருப்பதால், ஒவ்வொரு புதிய டைஜஸ்டிலும் நிகழ்ச்சி நிரல் உருப்படிகளில் ஒன்று நடுத்தர நெட்வொர்க் உள்கட்டமைப்பின் தொழில்நுட்ப அம்சங்களை வெளிப்படுத்தும். எடுத்துக்காட்டாக, உங்கள் சேவைக்கான SSL சான்றிதழை வழங்குவதற்கான விரிவான வழிமுறைகள் கீழே உள்ளன.
எடுத்துக்காட்டுகள் டொமைன் பெயரைக் குறிக்கும் domain.ygg, இது உங்கள் சேவையின் டொமைன் பெயருடன் மாற்றப்பட வேண்டும்.
1 படி. தனிப்பட்ட விசை மற்றும் Diffie-Hellman அளவுருக்களை உருவாக்கவும்
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 படி. சான்றிதழ் கோரிக்கையை சமர்ப்பிக்கவும்
இதைச் செய்ய, கோப்பின் உள்ளடக்கங்களை நகலெடுக்கவும் domain.ygg.csr மற்றும் அதை தளத்தில் உள்ள உரை புலத்தில் ஒட்டவும் pki.medium.isp.
இணையதளத்தில் வழங்கப்பட்ட வழிமுறைகளைப் பின்பற்றவும், பின்னர் "சமர்ப்பி" என்பதைக் கிளிக் செய்யவும். வெற்றியடைந்தால், நீங்கள் குறிப்பிட்ட மின்னஞ்சல் முகவரிக்கு ஒரு செய்தி அனுப்பப்படும், அதில் ஒரு இடைநிலை சான்றிதழ் ஆணையத்தால் கையொப்பமிடப்பட்ட சான்றிதழின் வடிவத்தில் இணைப்பு உள்ளது.
4 படி. உங்கள் இணைய சேவையகத்தை அமைக்கவும்
உங்கள் வலை சேவையகமாக nginx ஐப் பயன்படுத்தினால், பின்வரும் உள்ளமைவைப் பயன்படுத்தவும்:
மின்னஞ்சலில் நீங்கள் பெற்ற சான்றிதழ் நகலெடுக்கப்பட வேண்டும்: /etc/ssl/certs/domain.ygg.crt. தனிப்பட்ட விசை (domain.ygg.key) அதை ஒரு கோப்பகத்தில் வைக்கவும் /etc/ssl/private/.
5 படி. உங்கள் இணைய சேவையகத்தை மறுதொடக்கம் செய்யுங்கள்
sudo service nginx restart
ரஷ்யாவில் இலவச இணையம் உங்களிடமிருந்து தொடங்குகிறது
இன்று ரஷ்யாவில் இலவச இணையத்தை நிறுவுவதற்கு நீங்கள் அனைத்து உதவிகளையும் செய்யலாம். நெட்வொர்க்கிற்கு நீங்கள் எவ்வாறு உதவலாம் என்பதற்கான விரிவான பட்டியலை நாங்கள் தொகுத்துள்ளோம்:
மீடியம் நெட்வொர்க் பற்றி உங்கள் நண்பர்கள் மற்றும் சக ஊழியர்களிடம் சொல்லுங்கள். பகிர் இணைப்பை சமூக வலைப்பின்னல்கள் அல்லது தனிப்பட்ட வலைப்பதிவில் இந்த கட்டுரைக்கு
நடுத்தர நெட்வொர்க்கின் தொழில்நுட்ப சிக்கல்களின் விவாதத்தில் பங்கேற்கவும் GitHub இல்