“జాతీయ భద్రత” అనే పదబంధాన్ని మనం నిత్యం వింటూనే ఉంటాం, కానీ ప్రభుత్వం మా కమ్యూనికేషన్లను పర్యవేక్షించడం ప్రారంభించినప్పుడు, విశ్వసనీయమైన అనుమానం, చట్టపరమైన ఆధారం మరియు స్పష్టమైన ప్రయోజనం లేకుండా వాటిని రికార్డ్ చేయడం ప్రారంభించినప్పుడు, మనం మనల్ని మనం ప్రశ్నించుకోవాలి: అవి నిజంగా జాతీయ భద్రతను కాపాడుతున్నాయా లేదా వారు తమను తాము రక్షించుకుంటున్నారా?
- ఎడ్వర్డ్ స్నోడెన్
ఈ డైజెస్ట్ గోప్యత సమస్యపై సంఘం యొక్క ఆసక్తిని పెంచడానికి ఉద్దేశించబడింది, దీని వెలుగులో తాజా సంఘటనలు గతంలో కంటే మరింత సంబంధితంగా మారుతుంది.
ఎజెండాలో:
వికేంద్రీకృత ఇంటర్నెట్ ప్రొవైడర్ "మీడియం" కమ్యూనిటీ నుండి ఔత్సాహికులు వారి స్వంత శోధన ఇంజిన్ను సృష్టిస్తున్నారు
మీడియం మీడియం గ్లోబల్ రూట్ CA అనే కొత్త సర్టిఫికేషన్ అథారిటీని ఏర్పాటు చేసింది. మార్పుల వల్ల ఎవరు ప్రభావితమవుతారు?
ప్రతి ఇంటికి భద్రతా ప్రమాణపత్రాలు - Yggdrasil నెట్వర్క్లో మీ స్వంత సేవను ఎలా సృష్టించాలి మరియు దాని కోసం చెల్లుబాటు అయ్యే SSL ప్రమాణపత్రాన్ని ఎలా జారీ చేయాలి
నాకు గుర్తు చేయండి - “మీడియం” అంటే ఏమిటి?
మీడియం (Eng. మీడియం - “మధ్యవర్తి”, అసలు నినాదం - మీ గోప్యతను అడగవద్దు. తిరిగి వెనక్కి తీసుకోరా; ఆంగ్లంలో కూడా పదం మీడియం అంటే "ఇంటర్మీడియట్") - నెట్వర్క్ యాక్సెస్ సేవలను అందించే రష్యన్ వికేంద్రీకృత ఇంటర్నెట్ ప్రొవైడర్ యగ్డ్రాసిల్ ఉచితంగా.
Wi-Fi వైర్లెస్ డేటా ట్రాన్స్మిషన్ టెక్నాలజీని ఉపయోగించడం ద్వారా తుది వినియోగదారులకు Yggdrasil నెట్వర్క్ వనరులకు యాక్సెస్ను అందించడం ద్వారా స్వతంత్ర టెలికమ్యూనికేషన్స్ వాతావరణాన్ని రూపొందించడంలో భాగంగా ఏప్రిల్ 2019లో రూపొందించబడింది.
వికేంద్రీకృత ఇంటర్నెట్ ప్రొవైడర్ "మీడియం" కమ్యూనిటీ నుండి ఔత్సాహికులు వారి స్వంత శోధన ఇంజిన్ను సృష్టిస్తున్నారు
నిజానికి ఆన్లైన్ యగ్డ్రాసిల్, వికేంద్రీకృత ఇంటర్నెట్ సర్వీస్ ప్రొవైడర్ మీడియం రవాణాగా ఉపయోగిస్తుంది, దాని స్వంత DNS సర్వర్ లేదా పబ్లిక్ కీ ఇన్ఫ్రాస్ట్రక్చర్ లేదు - అయినప్పటికీ, మీడియం నెట్వర్క్ సేవలకు భద్రతా ప్రమాణపత్రాలను జారీ చేయవలసిన అవసరం ఈ రెండు సమస్యలను పరిష్కరించింది.
Yggdrasil తోటివారి మధ్య ట్రాఫిక్ను గుప్తీకరించే సామర్థ్యాన్ని అందించినట్లయితే మీకు PKI ఎందుకు అవసరం?మీరు స్థానికంగా నడుస్తున్న Yggdrasil నెట్వర్క్ రూటర్ ద్వారా Yggdrasil నెట్వర్క్కి కనెక్ట్ చేస్తే, వెబ్ సేవలకు కనెక్ట్ చేయడానికి HTTPSని ఉపయోగించాల్సిన అవసరం లేదు.
నిజానికి: Yggdrasil రవాణా సమానంగా ఉంది ప్రోటోకాల్ Yggdrasil నెట్వర్క్లోని వనరులను సురక్షితంగా ఉపయోగించడానికి మిమ్మల్ని అనుమతిస్తుంది - నిర్వహించే సామర్థ్యం MITM దాడులు పూర్తిగా మినహాయించబడింది.
మీరు Yggdarsil యొక్క ఇంట్రానెట్ వనరులను నేరుగా కాకుండా, ఇంటర్మీడియట్ నోడ్ ద్వారా యాక్సెస్ చేస్తే పరిస్థితి సమూలంగా మారుతుంది - మీడియం నెట్వర్క్ యాక్సెస్ పాయింట్, ఇది దాని ఆపరేటర్ ద్వారా నిర్వహించబడుతుంది.
ఈ సందర్భంలో, మీరు ప్రసారం చేసే డేటాను ఎవరు రాజీ చేయవచ్చు:
యాక్సెస్ పాయింట్ ఆపరేటర్. మీడియం నెట్వర్క్ యాక్సెస్ పాయింట్ యొక్క ప్రస్తుత ఆపరేటర్ దాని పరికరాల గుండా వెళ్లే ఎన్క్రిప్ట్ చేయని ట్రాఫిక్ను వినవచ్చని స్పష్టంగా ఉంది.
చొరబాటుదారుడు (మధ్యలో మనిషి) మీడియంకు ఇలాంటి సమస్య ఉంది టోర్ నెట్వర్క్ సమస్య, ఇన్పుట్ మరియు ఇంటర్మీడియట్ నోడ్లకు సంబంధించి మాత్రమే.
ఇది ఇలా కనిపిస్తుంది
నిర్ణయం: Yggdrasil నెట్వర్క్లో వెబ్ సేవలను యాక్సెస్ చేయడానికి, HTTPS ప్రోటోకాల్ను ఉపయోగించండి (స్థాయి 7 OSI నమూనాలు) సమస్య ఏమిటంటే Yggdrasil నెట్వర్క్ సేవలకు నిజమైన భద్రతా ప్రమాణపత్రాన్ని జారీ చేయడం సాధ్యపడదు. ఎన్క్రిప్ట్ లెట్.
అందువల్ల, మేము మా స్వంత ధృవీకరణ కేంద్రాన్ని స్థాపించాము - "మీడియం గ్లోబల్ రూట్ CA". మీడియం నెట్వర్క్లోని మెజారిటీ సేవలు ఇంటర్మీడియట్ సర్టిఫికేషన్ అథారిటీ మీడియం డొమైన్ వాలిడేషన్ సెక్యూర్ సర్వర్ CA యొక్క రూట్ సెక్యూరిటీ సర్టిఫికేట్ ద్వారా సంతకం చేయబడ్డాయి.
ధృవీకరణ అధికారం యొక్క రూట్ సర్టిఫికేట్ను రాజీ చేసే అవకాశం, వాస్తవానికి, పరిగణనలోకి తీసుకోబడింది - కానీ ఇక్కడ డేటా ట్రాన్స్మిషన్ యొక్క సమగ్రతను నిర్ధారించడానికి మరియు MITM దాడుల అవకాశాన్ని తొలగించడానికి సర్టిఫికేట్ మరింత అవసరం.
వేర్వేరు ఆపరేటర్ల నుండి మీడియం నెట్వర్క్ సేవలు వేర్వేరు భద్రతా ప్రమాణపత్రాలను కలిగి ఉంటాయి, రూట్ సర్టిఫికేషన్ అథారిటీచే సంతకం చేయబడిన ఒక మార్గం లేదా మరొకటి. అయినప్పటికీ, రూట్ CA ఆపరేటర్లు భద్రతా ధృవపత్రాలపై సంతకం చేసిన సేవల నుండి గుప్తీకరించిన ట్రాఫిక్ను వినలేరు (చూడండి "CSR అంటే ఏమిటి?").
వారి భద్రత గురించి ప్రత్యేకంగా ఆందోళన చెందుతున్న వారు అదనపు రక్షణ వంటి మార్గాలను ఉపయోగించవచ్చు PGP и ఇలాంటి.
ప్రస్తుతం, మీడియం నెట్వర్క్ యొక్క పబ్లిక్ కీ ఇన్ఫ్రాస్ట్రక్చర్ ప్రోటోకాల్ను ఉపయోగించి సర్టిఫికేట్ స్థితిని తనిఖీ చేయగల సామర్థ్యాన్ని కలిగి ఉంది OCSP లేదా ఉపయోగం ద్వారా సి.ఆర్.ఎల్..
పాయింట్ పొందండి
యూజర్ @NX షాక్ Yggdrasil నెట్వర్క్లో ఉన్న వెబ్ సేవల కోసం శోధన ఇంజిన్ను అభివృద్ధి చేయడం ప్రారంభించింది. ఒక ముఖ్యమైన అంశం ఏమిటంటే, మీడియం నెట్వర్క్లో ఉన్న DNS సర్వర్కు అభ్యర్థనను పంపడం ద్వారా శోధనను నిర్వహించేటప్పుడు సేవల యొక్క IPv6 చిరునామాలను నిర్ణయించడం జరుగుతుంది.
ప్రధాన TLD .ygg. రెండు మినహాయింపులతో చాలా డొమైన్ పేర్లు ఈ TLDని కలిగి ఉన్నాయి: .isp и కలిగి .Share.
శోధన ఇంజిన్ అభివృద్ధిలో ఉంది, కానీ దాని ఉపయోగం ఈ రోజు ఇప్పటికే సాధ్యమవుతుంది - కేవలం వెబ్సైట్ను సందర్శించండి search.medium.isp.
మీడియం మీడియం గ్లోబల్ రూట్ CA అనే కొత్త సర్టిఫికేషన్ అథారిటీని ఏర్పాటు చేసింది. మార్పుల వల్ల ఎవరు ప్రభావితమవుతారు?
నిన్న, మీడియం రూట్ CA సర్టిఫికేషన్ సెంటర్ యొక్క కార్యాచరణ యొక్క పబ్లిక్ టెస్టింగ్ పూర్తయింది. పరీక్ష ముగింపులో, పబ్లిక్ కీ ఇన్ఫ్రాస్ట్రక్చర్ సేవల ఆపరేషన్లో లోపాలు సరిదిద్దబడ్డాయి మరియు ధృవీకరణ అధికారం "మీడియం గ్లోబల్ రూట్ CA" యొక్క కొత్త రూట్ సర్టిఫికేట్ సృష్టించబడింది.
PKI యొక్క అన్ని సూక్ష్మ నైపుణ్యాలు మరియు లక్షణాలు పరిగణనలోకి తీసుకోబడ్డాయి - ఇప్పుడు కొత్త CA సర్టిఫికేట్ “మీడియం గ్లోబల్ రూట్ CA” పదేళ్ల తర్వాత (దాని గడువు తేదీ తర్వాత) మాత్రమే జారీ చేయబడుతుంది. ఇప్పుడు భద్రతా ప్రమాణపత్రాలు ఇంటర్మీడియట్ సర్టిఫికేషన్ అధికారులచే మాత్రమే జారీ చేయబడతాయి - ఉదాహరణకు, “మీడియం డొమైన్ ధ్రువీకరణ సురక్షిత సర్వర్ CA”.
సర్టిఫికేట్ ట్రస్ట్ చైన్ ఇప్పుడు ఎలా ఉంది?
మీరు వినియోగదారు అయితే ప్రతిదీ పని చేయడానికి ఏమి చేయాలి:
కొన్ని సేవలు HSTSని ఉపయోగిస్తున్నందున, మీడియం నెట్వర్క్ వనరులను ఉపయోగించే ముందు, మీరు మీడియం ఇంట్రానెట్ వనరుల నుండి తప్పనిసరిగా డేటాను తొలగించాలి. మీరు దీన్ని మీ బ్రౌజర్ చరిత్ర ట్యాబ్లో చేయవచ్చు.
మీరు సిస్టమ్ ఆపరేటర్ అయితే ప్రతిదీ పని చేయడానికి ఏమి చేయాలి:
మీరు పేజీలో మీ సేవ కోసం సర్టిఫికేట్ను మళ్లీ జారీ చేయాలి pki.medium.isp (సేవ మీడియం నెట్వర్క్లో మాత్రమే అందుబాటులో ఉంటుంది).
ప్రతి ఇంటికి భద్రతా ప్రమాణపత్రాలు - Yggdrasil నెట్వర్క్లో మీ స్వంత సేవను ఎలా సృష్టించాలి మరియు దాని కోసం చెల్లుబాటు అయ్యే SSL ప్రమాణపత్రాన్ని ఎలా జారీ చేయాలి
మీడియం నెట్వర్క్లో ఇంట్రానెట్ సేవల సంఖ్య పెరుగుదల కారణంగా, కొత్త భద్రతా ధృవపత్రాలను జారీ చేయడం మరియు SSLకి మద్దతు ఇచ్చేలా వారి సేవలను కాన్ఫిగర్ చేయడం అవసరం.
Habr ఒక సాంకేతిక వనరు కాబట్టి, ప్రతి కొత్త డైజెస్ట్లో ఎజెండా ఐటెమ్లలో ఒకటి మీడియం నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ యొక్క సాంకేతిక లక్షణాలను బహిర్గతం చేస్తుంది. ఉదాహరణకు, మీ సేవ కోసం SSL సర్టిఫికేట్ జారీ చేయడానికి సమగ్ర సూచనలు క్రింద ఉన్నాయి.
ఉదాహరణలు డొమైన్ పేరును సూచిస్తాయి domain.ygg, ఇది తప్పనిసరిగా మీ సేవ యొక్క డొమైన్ పేరుతో భర్తీ చేయబడాలి.
1 దశ. ప్రైవేట్ కీ మరియు Diffie-Hellman పారామితులను రూపొందించండి
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 దశ. సర్టిఫికేట్ అభ్యర్థనను సమర్పించండి
దీన్ని చేయడానికి, ఫైల్ యొక్క కంటెంట్లను కాపీ చేయండి domain.ygg.csr మరియు దానిని సైట్లోని టెక్స్ట్ ఫీల్డ్లో అతికించండి pki.medium.isp.
వెబ్సైట్లో అందించిన సూచనలను అనుసరించండి, ఆపై "సమర్పించు" క్లిక్ చేయండి. విజయవంతమైతే, ఇంటర్మీడియట్ సర్టిఫికేషన్ అథారిటీ సంతకం చేసిన సర్టిఫికేట్ రూపంలో అటాచ్మెంట్తో కూడిన సందేశం మీరు పేర్కొన్న ఇమెయిల్ చిరునామాకు పంపబడుతుంది.
4 దశ. మీ వెబ్ సర్వర్ని సెటప్ చేయండి
మీరు మీ వెబ్ సర్వర్గా nginxని ఉపయోగిస్తుంటే, కింది కాన్ఫిగరేషన్ను ఉపయోగించండి:
మీరు ఇమెయిల్ ద్వారా స్వీకరించిన ప్రమాణపత్రం తప్పనిసరిగా దీనికి కాపీ చేయబడాలి: /etc/ssl/certs/domain.ygg.crt. ప్రైవేట్ కీ (domain.ygg.key) దానిని డైరెక్టరీలో ఉంచండి /etc/ssl/private/.
5 దశ. మీ వెబ్ సర్వర్ని పునఃప్రారంభించండి
sudo service nginx restart
రష్యాలో ఉచిత ఇంటర్నెట్ మీతో ప్రారంభమవుతుంది
ఈ రోజు రష్యాలో ఉచిత ఇంటర్నెట్ ఏర్పాటుకు మీరు అన్ని రకాల సహాయాన్ని అందించవచ్చు. మీరు నెట్వర్క్కు ఎలా సహాయం చేయవచ్చనే దాని యొక్క సమగ్ర జాబితాను మేము సంకలనం చేసాము:
మీడియం నెట్వర్క్ గురించి మీ స్నేహితులు మరియు సహోద్యోగులకు చెప్పండి. షేర్ చేయండి లింక్ సోషల్ నెట్వర్క్లు లేదా వ్యక్తిగత బ్లాగులో ఈ కథనానికి
మీడియం నెట్వర్క్లో సాంకేతిక సమస్యల చర్చలో పాల్గొనండి GitHubలో