Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Эдвард Сноуден
Ин дайджест барои баланд бардоштани таваҷҷуҳи ҷомеа ба масъалаи дахолатнопазирӣ, ки бо назардошти аз харвакта дида бештар му-химтар мегардад.
Дар рузнома:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Ба ман хотиррасон кунед - "Миёна" чист?
миёна (Eng. миёна - "миёнарав", шиори аслӣ - Махфияти худро напурсед. Онро баргардонед; инчунин ба забони англисӣ калима миёна маънои "миёнаравӣ") - провайдери интернети ғайримарказии Русия, ки хидматҳои дастрасии шабакаро пешкаш мекунад бе ягон хароҷот.
Номи пурра: Провайдери хидматрасонии Интернети миёна. Дар аввал лоиҳа ҳамчун тарҳрезӣ карда шуд в .
Моҳи апрели соли 2019 ҳамчун як қисми эҷоди муҳити мустақили телекоммуникатсионӣ тавассути таъмин намудани истифодабарандагони ниҳоӣ бо дастрасӣ ба захираҳои шабакаи Yggdrasil тавассути истифодаи технологияи интиқоли бесими Wi-Fi маълумот таъсис дода шудааст.
Больше информации по теме:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Барои пайваст шудан ба хидматҳои веб дар шабакаи Yggdrasil, агар шумо ба онҳо тавассути роутери шабакаи Yggdrasil дар маҳалли ҷойгиршуда пайваст шавед, истифодаи HTTPS лозим нест.
Дар ҳақиқат: нақлиёти Yggdrasil баробар аст ба шумо имкон медиҳад, ки бехатар истифода захираҳои дохили шабакаи Yggdrasil - қобилияти гузаронидани комилан истисно карда шудааст.
Вазъият ба куллӣ тағйир меёбад, агар шумо ба захираҳои интранети Yggdarsil на мустақиман, балки тавассути гиреҳи мобайнӣ - нуқтаи дастрасии шабакаи миёна, ки аз ҷониби оператори он идора карда мешавад, дастрас шавед.
Дар ин ҳолат, кӣ метавонад маълумотеро, ки шумо интиқол медиҳед, вайрон кунад:
- Оператори нуқтаи дастрасӣ. Равшан аст, ки оператори кунунии нуқтаи дастрасии шабакаи миёна метавонад трафики рамзнашудаеро, ки аз таҷҳизоти он мегузарад, гӯш кунад.
- вайронкор (). Миёна мушкилоти монанд дорад , танҳо дар робита ба гиреҳҳои воридотӣ ва мобайнӣ.
Чунин ба назар мерасад
ҳалли: барои дастрасӣ ба хидматҳои веб дар дохили шабакаи Yggdrasil, протоколи HTTPS-ро истифода баред (сатҳи 7 ). Мушкилот дар он аст, ки додани шаҳодатномаи амнияти ҳақиқӣ барои хидматҳои шабакаи Yggdrasil тавассути воситаҳои маъмулӣ, ба монанди .
Аз ин рӯ, мо маркази сертификатсияи худро таъсис додем - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Имконияти осеб дидани шаҳодатномаи решаи мақомоти сертификатсия, албатта, ба назар гирифта шуд - аммо дар ин ҷо сертификат барои тасдиқи якпорчагии интиқоли маълумот ва аз байн бурдани эҳтимолияти ҳамлаҳои MITM зарур аст.
Хидматҳои шабакаи миёна аз операторони гуногун дорои шаҳодатномаҳои гуногуни амниятӣ мебошанд, ки ин ё он роҳе, ки аз ҷониби мақомоти сертификатсияи реша имзо шудааст. Аммо, операторони Root CA наметавонанд трафики рамзшударо аз хидматҳое, ки ба онҳо сертификатҳои амниятӣ имзо кардаанд, гӯш кунанд (ниг. ).
Касоне, ки махсусан дар бораи бехатарии худ ғамхорӣ мекунанд, метавонанд аз чунин воситаҳо, ба монанди муҳофизати иловагӣ истифода баранд и .
Дар айни замон, инфрасохтори калиди оммавии шабакаи Medium қобилияти санҷиши ҳолати сертификатро бо истифода аз протокол дорад. ё тавассути истифода .
Ба нуқтаи наздиктар
Корбар начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Инчунин зарур аст удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Қадами 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Сипас:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Қадами 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confМундариҷаи файл domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Қадами 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Қадами 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
файл domain.ygg.conf дар директория /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
файл ssl-params.conf дар директория /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
файл domain.ygg.conf дар директория /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Қадами 5. Перезапустите ваш веб-сервер
sudo service nginx restartИнтернети ройгон дар Русия аз шумо оғоз мешавад
Шумо метавонед имрӯз барои таъсиси интернети ройгон дар Русия ҳамаҷониба кумак кунед. Мо рӯйхати ҳамаҷонибаи маҳз чӣ гуна шумо метавонед ба шабака кӯмак расонед, тартиб додем:
- Дар бораи шабакаи Medium ба дӯстон ва ҳамкорони худ нақл кунед. Мубодила ба ин мақола дар шабакаҳои иҷтимоӣ ё блоги шахсӣ
- Дар мухокимаи масъалахои техникй дар шабакаи Миёна иштирок кунед
- Дар шабакаи Yggdrasil хидмати веби худро эҷод кунед ва онро ба он илова кунед
- Худро баланд кунед ба шабакаи миёна
Нашрияҳои қаблӣ:
Ҳамчунин хонед:
Мо дар Telegram:
Танҳо корбарони сабтиномшуда метавонанд дар пурсиш иштирок кунанд. , Лутфан.
Овоздиҳии алтернативӣ: барои мо донистани ақидаи онҳое, ки дар бораи Ҳабре ҳисоби пурра надоранд, муҳим аст
-
↑
-
↓
7 корбар овоз доданд. 2 корбар худдорӣ карданд.
Манбаъ: will.com