“జాతీయ భద్రత” అనే పదబంధాన్ని మనం నిత్యం వింటూనే ఉంటాం, కానీ ప్రభుత్వం మా కమ్యూనికేషన్లను పర్యవేక్షించడం ప్రారంభించినప్పుడు, విశ్వసనీయమైన అనుమానం, చట్టపరమైన ఆధారం మరియు స్పష్టమైన ప్రయోజనం లేకుండా వాటిని రికార్డ్ చేయడం ప్రారంభించినప్పుడు, మనం మనల్ని మనం ప్రశ్నించుకోవాలి: అవి నిజంగా జాతీయ భద్రతను కాపాడుతున్నాయా లేదా వారు తమను తాము రక్షించుకుంటున్నారా?
- ఎడ్వర్డ్ స్నోడెన్
ఈ డైజెస్ట్ గోప్యత సమస్యపై సంఘం యొక్క ఆసక్తిని పెంచడానికి ఉద్దేశించబడింది, దీని వెలుగులో గతంలో కంటే మరింత సంబంధితంగా మారుతుంది.
ఎజెండాలో:
వికేంద్రీకృత ఇంటర్నెట్ ప్రొవైడర్ "మీడియం" కమ్యూనిటీ నుండి ఔత్సాహికులు వారి స్వంత శోధన ఇంజిన్ను సృష్టిస్తున్నారు
మీడియం మీడియం గ్లోబల్ రూట్ CA అనే కొత్త సర్టిఫికేషన్ అథారిటీని ఏర్పాటు చేసింది. మార్పుల వల్ల ఎవరు ప్రభావితమవుతారు?
ప్రతి ఇంటికి భద్రతా ప్రమాణపత్రాలు - Yggdrasil నెట్వర్క్లో మీ స్వంత సేవను ఎలా సృష్టించాలి మరియు దాని కోసం చెల్లుబాటు అయ్యే SSL ప్రమాణపత్రాన్ని ఎలా జారీ చేయాలి
నాకు గుర్తు చేయండి - “మీడియం” అంటే ఏమిటి?
మీడియం (Eng. మీడియం - “మధ్యవర్తి”, అసలు నినాదం - మీ గోప్యతను అడగవద్దు. తిరిగి వెనక్కి తీసుకోరా; ఆంగ్లంలో కూడా పదం మీడియం అంటే "ఇంటర్మీడియట్") - నెట్వర్క్ యాక్సెస్ సేవలను అందించే రష్యన్ వికేంద్రీకృత ఇంటర్నెట్ ప్రొవైడర్ ఉచితంగా.
పూర్తి పేరు: మధ్యస్థ ఇంటర్నెట్ సర్వీస్ ప్రొవైడర్. మొదటగా ఈ ప్రాజెక్ట్ను రూపొందించారు в .
Wi-Fi వైర్లెస్ డేటా ట్రాన్స్మిషన్ టెక్నాలజీని ఉపయోగించడం ద్వారా తుది వినియోగదారులకు Yggdrasil నెట్వర్క్ వనరులకు యాక్సెస్ను అందించడం ద్వారా స్వతంత్ర టెలికమ్యూనికేషన్స్ వాతావరణాన్ని రూపొందించడంలో భాగంగా ఏప్రిల్ 2019లో రూపొందించబడింది.
అంశంపై మరింత సమాచారం:
వికేంద్రీకృత ఇంటర్నెట్ ప్రొవైడర్ "మీడియం" కమ్యూనిటీ నుండి ఔత్సాహికులు వారి స్వంత శోధన ఇంజిన్ను సృష్టిస్తున్నారు
నిజానికి ఆన్లైన్ , వికేంద్రీకృత ఇంటర్నెట్ సర్వీస్ ప్రొవైడర్ మీడియం రవాణాగా ఉపయోగిస్తుంది, దాని స్వంత DNS సర్వర్ లేదా పబ్లిక్ కీ ఇన్ఫ్రాస్ట్రక్చర్ లేదు - అయినప్పటికీ, మీడియం నెట్వర్క్ సేవలకు భద్రతా ప్రమాణపత్రాలను జారీ చేయవలసిన అవసరం ఈ రెండు సమస్యలను పరిష్కరించింది.
Yggdrasil తోటివారి మధ్య ట్రాఫిక్ను గుప్తీకరించే సామర్థ్యాన్ని అందించినట్లయితే మీకు PKI ఎందుకు అవసరం?మీరు స్థానికంగా నడుస్తున్న Yggdrasil నెట్వర్క్ రూటర్ ద్వారా Yggdrasil నెట్వర్క్కి కనెక్ట్ చేస్తే, వెబ్ సేవలకు కనెక్ట్ చేయడానికి HTTPSని ఉపయోగించాల్సిన అవసరం లేదు.
నిజానికి: Yggdrasil రవాణా సమానంగా ఉంది Yggdrasil నెట్వర్క్లోని వనరులను సురక్షితంగా ఉపయోగించడానికి మిమ్మల్ని అనుమతిస్తుంది - నిర్వహించే సామర్థ్యం పూర్తిగా మినహాయించబడింది.
మీరు Yggdarsil యొక్క ఇంట్రానెట్ వనరులను నేరుగా కాకుండా, ఇంటర్మీడియట్ నోడ్ ద్వారా యాక్సెస్ చేస్తే పరిస్థితి సమూలంగా మారుతుంది - మీడియం నెట్వర్క్ యాక్సెస్ పాయింట్, ఇది దాని ఆపరేటర్ ద్వారా నిర్వహించబడుతుంది.
ఈ సందర్భంలో, మీరు ప్రసారం చేసే డేటాను ఎవరు రాజీ చేయవచ్చు:
- యాక్సెస్ పాయింట్ ఆపరేటర్. మీడియం నెట్వర్క్ యాక్సెస్ పాయింట్ యొక్క ప్రస్తుత ఆపరేటర్ దాని పరికరాల గుండా వెళ్లే ఎన్క్రిప్ట్ చేయని ట్రాఫిక్ను వినవచ్చని స్పష్టంగా ఉంది.
- చొరబాటుదారుడు () మీడియంకు ఇలాంటి సమస్య ఉంది , ఇన్పుట్ మరియు ఇంటర్మీడియట్ నోడ్లకు సంబంధించి మాత్రమే.
ఇది ఇలా కనిపిస్తుంది
నిర్ణయం: Yggdrasil నెట్వర్క్లో వెబ్ సేవలను యాక్సెస్ చేయడానికి, HTTPS ప్రోటోకాల్ను ఉపయోగించండి (స్థాయి 7 ) సమస్య ఏమిటంటే Yggdrasil నెట్వర్క్ సేవలకు నిజమైన భద్రతా ప్రమాణపత్రాన్ని జారీ చేయడం సాధ్యపడదు. .
అందువల్ల, మేము మా స్వంత ధృవీకరణ కేంద్రాన్ని స్థాపించాము - . మీడియం నెట్వర్క్లోని మెజారిటీ సేవలు ఇంటర్మీడియట్ సర్టిఫికేషన్ అథారిటీ మీడియం డొమైన్ వాలిడేషన్ సెక్యూర్ సర్వర్ CA యొక్క రూట్ సెక్యూరిటీ సర్టిఫికేట్ ద్వారా సంతకం చేయబడ్డాయి.
ధృవీకరణ అధికారం యొక్క రూట్ సర్టిఫికేట్ను రాజీ చేసే అవకాశం, వాస్తవానికి, పరిగణనలోకి తీసుకోబడింది - కానీ ఇక్కడ డేటా ట్రాన్స్మిషన్ యొక్క సమగ్రతను నిర్ధారించడానికి మరియు MITM దాడుల అవకాశాన్ని తొలగించడానికి సర్టిఫికేట్ మరింత అవసరం.
వేర్వేరు ఆపరేటర్ల నుండి మీడియం నెట్వర్క్ సేవలు వేర్వేరు భద్రతా ప్రమాణపత్రాలను కలిగి ఉంటాయి, రూట్ సర్టిఫికేషన్ అథారిటీచే సంతకం చేయబడిన ఒక మార్గం లేదా మరొకటి. అయినప్పటికీ, రూట్ CA ఆపరేటర్లు భద్రతా ధృవపత్రాలపై సంతకం చేసిన సేవల నుండి గుప్తీకరించిన ట్రాఫిక్ను వినలేరు (చూడండి ).
వారి భద్రత గురించి ప్రత్యేకంగా ఆందోళన చెందుతున్న వారు అదనపు రక్షణ వంటి మార్గాలను ఉపయోగించవచ్చు и .
ప్రస్తుతం, మీడియం నెట్వర్క్ యొక్క పబ్లిక్ కీ ఇన్ఫ్రాస్ట్రక్చర్ ప్రోటోకాల్ను ఉపయోగించి సర్టిఫికేట్ స్థితిని తనిఖీ చేయగల సామర్థ్యాన్ని కలిగి ఉంది లేదా ఉపయోగం ద్వారా .
పాయింట్ పొందండి
యూజర్ Yggdrasil నెట్వర్క్లో ఉన్న వెబ్ సేవల కోసం శోధన ఇంజిన్ను అభివృద్ధి చేయడం ప్రారంభించింది. ఒక ముఖ్యమైన అంశం ఏమిటంటే, మీడియం నెట్వర్క్లో ఉన్న DNS సర్వర్కు అభ్యర్థనను పంపడం ద్వారా శోధనను నిర్వహించేటప్పుడు సేవల యొక్క IPv6 చిరునామాలను నిర్ణయించడం జరుగుతుంది.
ప్రధాన TLD .ygg. రెండు మినహాయింపులతో చాలా డొమైన్ పేర్లు ఈ TLDని కలిగి ఉన్నాయి: .isp и కలిగి .Share.
శోధన ఇంజిన్ అభివృద్ధిలో ఉంది, కానీ దాని ఉపయోగం ఈ రోజు ఇప్పటికే సాధ్యమవుతుంది - కేవలం వెబ్సైట్ను సందర్శించండి .
మీరు ప్రాజెక్ట్ అభివృద్ధికి సహాయం చేయవచ్చు, .
మీడియం మీడియం గ్లోబల్ రూట్ CA అనే కొత్త సర్టిఫికేషన్ అథారిటీని ఏర్పాటు చేసింది. మార్పుల వల్ల ఎవరు ప్రభావితమవుతారు?
నిన్న, మీడియం రూట్ CA సర్టిఫికేషన్ సెంటర్ యొక్క కార్యాచరణ యొక్క పబ్లిక్ టెస్టింగ్ పూర్తయింది. పరీక్ష ముగింపులో, పబ్లిక్ కీ ఇన్ఫ్రాస్ట్రక్చర్ సేవల ఆపరేషన్లో లోపాలు సరిదిద్దబడ్డాయి మరియు ధృవీకరణ అధికారం "మీడియం గ్లోబల్ రూట్ CA" యొక్క కొత్త రూట్ సర్టిఫికేట్ సృష్టించబడింది.
PKI యొక్క అన్ని సూక్ష్మ నైపుణ్యాలు మరియు లక్షణాలు పరిగణనలోకి తీసుకోబడ్డాయి - ఇప్పుడు కొత్త CA సర్టిఫికేట్ “మీడియం గ్లోబల్ రూట్ CA” పదేళ్ల తర్వాత (దాని గడువు తేదీ తర్వాత) మాత్రమే జారీ చేయబడుతుంది. ఇప్పుడు భద్రతా ప్రమాణపత్రాలు ఇంటర్మీడియట్ సర్టిఫికేషన్ అధికారులచే మాత్రమే జారీ చేయబడతాయి - ఉదాహరణకు, “మీడియం డొమైన్ ధ్రువీకరణ సురక్షిత సర్వర్ CA”.
సర్టిఫికేట్ ట్రస్ట్ చైన్ ఇప్పుడు ఎలా ఉంది?
మీరు వినియోగదారు అయితే ప్రతిదీ పని చేయడానికి ఏమి చేయాలి:
కొన్ని సేవలు HSTSని ఉపయోగిస్తున్నందున, మీడియం నెట్వర్క్ వనరులను ఉపయోగించే ముందు, మీరు మీడియం ఇంట్రానెట్ వనరుల నుండి తప్పనిసరిగా డేటాను తొలగించాలి. మీరు దీన్ని మీ బ్రౌజర్ చరిత్ర ట్యాబ్లో చేయవచ్చు.
ఇది కూడా అవసరం ధృవీకరణ కేంద్రం "మీడియం గ్లోబల్ రూట్ CA".
మీరు సిస్టమ్ ఆపరేటర్ అయితే ప్రతిదీ పని చేయడానికి ఏమి చేయాలి:
మీరు పేజీలో మీ సేవ కోసం సర్టిఫికేట్ను మళ్లీ జారీ చేయాలి (సేవ మీడియం నెట్వర్క్లో మాత్రమే అందుబాటులో ఉంటుంది).
ప్రతి ఇంటికి భద్రతా ప్రమాణపత్రాలు - Yggdrasil నెట్వర్క్లో మీ స్వంత సేవను ఎలా సృష్టించాలి మరియు దాని కోసం చెల్లుబాటు అయ్యే SSL ప్రమాణపత్రాన్ని ఎలా జారీ చేయాలి
మీడియం నెట్వర్క్లో ఇంట్రానెట్ సేవల సంఖ్య పెరుగుదల కారణంగా, కొత్త భద్రతా ధృవపత్రాలను జారీ చేయడం మరియు SSLకి మద్దతు ఇచ్చేలా వారి సేవలను కాన్ఫిగర్ చేయడం అవసరం.
Habr ఒక సాంకేతిక వనరు కాబట్టి, ప్రతి కొత్త డైజెస్ట్లో ఎజెండా ఐటెమ్లలో ఒకటి మీడియం నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ యొక్క సాంకేతిక లక్షణాలను బహిర్గతం చేస్తుంది. ఉదాహరణకు, మీ సేవ కోసం SSL సర్టిఫికేట్ జారీ చేయడానికి సమగ్ర సూచనలు క్రింద ఉన్నాయి.
ఉదాహరణలు డొమైన్ పేరును సూచిస్తాయి domain.ygg, ఇది తప్పనిసరిగా మీ సేవ యొక్క డొమైన్ పేరుతో భర్తీ చేయబడాలి.
1 దశ. ప్రైవేట్ కీ మరియు Diffie-Hellman పారామితులను రూపొందించండి
openssl genrsa -out domain.ygg.key 2048అప్పుడు:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 20482 దశ. సర్టిఫికేట్ సంతకం అభ్యర్థనను సృష్టించండి
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confఫైల్ కంటెంట్లు domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 దశ. సర్టిఫికేట్ అభ్యర్థనను సమర్పించండి
దీన్ని చేయడానికి, ఫైల్ యొక్క కంటెంట్లను కాపీ చేయండి domain.ygg.csr మరియు దానిని సైట్లోని టెక్స్ట్ ఫీల్డ్లో అతికించండి .
వెబ్సైట్లో అందించిన సూచనలను అనుసరించండి, ఆపై "సమర్పించు" క్లిక్ చేయండి. విజయవంతమైతే, ఇంటర్మీడియట్ సర్టిఫికేషన్ అథారిటీ సంతకం చేసిన సర్టిఫికేట్ రూపంలో అటాచ్మెంట్తో కూడిన సందేశం మీరు పేర్కొన్న ఇమెయిల్ చిరునామాకు పంపబడుతుంది.
4 దశ. మీ వెబ్ సర్వర్ని సెటప్ చేయండి
మీరు మీ వెబ్ సర్వర్గా nginxని ఉపయోగిస్తుంటే, కింది కాన్ఫిగరేషన్ను ఉపయోగించండి:
ఫైలు domain.ygg.conf డైరెక్టరీలో /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
ఫైలు ssl-params.conf డైరెక్టరీలో /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ఫైలు domain.ygg.conf డైరెక్టరీలో /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
మీరు ఇమెయిల్ ద్వారా స్వీకరించిన ప్రమాణపత్రం తప్పనిసరిగా దీనికి కాపీ చేయబడాలి: /etc/ssl/certs/domain.ygg.crt. ప్రైవేట్ కీ (domain.ygg.key) దానిని డైరెక్టరీలో ఉంచండి /etc/ssl/private/.
5 దశ. మీ వెబ్ సర్వర్ని పునఃప్రారంభించండి
sudo service nginx restartరష్యాలో ఉచిత ఇంటర్నెట్ మీతో ప్రారంభమవుతుంది
ఈ రోజు రష్యాలో ఉచిత ఇంటర్నెట్ ఏర్పాటుకు మీరు అన్ని రకాల సహాయాన్ని అందించవచ్చు. మీరు నెట్వర్క్కు ఎలా సహాయం చేయవచ్చనే దాని యొక్క సమగ్ర జాబితాను మేము సంకలనం చేసాము:
- మీడియం నెట్వర్క్ గురించి మీ స్నేహితులు మరియు సహోద్యోగులకు చెప్పండి. షేర్ చేయండి సోషల్ నెట్వర్క్లు లేదా వ్యక్తిగత బ్లాగులో ఈ కథనానికి
- మీడియం నెట్వర్క్లో సాంకేతిక సమస్యల చర్చలో పాల్గొనండి
- Yggdrasil నెట్వర్క్లో మీ వెబ్ సేవను సృష్టించండి మరియు దానిని జోడించండి
- మీది పెంచండి మీడియం నెట్వర్క్కి
మునుపటి విడుదలలు:
కూడా చదవండి:
మేము టెలిగ్రామ్లో ఉన్నాము:
నమోదు చేసుకున్న వినియోగదారులు మాత్రమే సర్వేలో పాల్గొనగలరు. దయచేసి.
ప్రత్యామ్నాయ ఓటింగ్: హబ్రేలో పూర్తి ఖాతా లేని వారి అభిప్రాయాన్ని తెలుసుకోవడం మాకు ముఖ్యం
-
↑
-
↓
7 మంది వినియోగదారులు ఓటు వేశారు. 2 వినియోగదారులు దూరంగా ఉన్నారు.
మూలం: www.habr.com