Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Bu özet, Topluluğun mahremiyet konusuna olan ilgisini artırmayı amaçlamaktadır. son olaylar her zamankinden daha alakalı hale geliyor.
Gündemde:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Hatırlat bana - “Orta” nedir?
Orta (İngilizce Orta - “aracı”, orijinal slogan - Gizliliğinizi istemeyin. Geri al; aynı zamanda İngilizce kelime orta "ara" anlamına gelir) - ağ erişim hizmetleri sağlayan bir Rus merkezi olmayan İnternet sağlayıcısı Yggdrasil ücretsiz.
Tam adı: Orta Düzey İnternet Servis Sağlayıcısı. Başlangıçta proje şu şekilde tasarlandı: Örgü ağı в Kolomna kentsel bölgesi.
Wi-Fi kablosuz veri iletim teknolojisini kullanarak son kullanıcılara Yggdrasil ağ kaynaklarına erişim sağlayarak bağımsız bir telekomünikasyon ortamı yaratmanın bir parçası olarak Nisan 2019'da kuruldu.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Yerel olarak çalışan bir Yggdrasil ağ yönlendiricisi aracılığıyla bağlanıyorsanız, Yggdrasil ağındaki web hizmetlerine bağlanmak için HTTPS kullanmanıza gerek yoktur.
Gerçekten de: Yggdrasil ulaşımı eşit durumda protokol Yggdrasil ağı içindeki kaynakları güvenli bir şekilde kullanmanıza olanak tanır - yürütme yeteneği MITM saldırıları tamamen hariç tutuldu.
Yggdarsil'in intranet kaynaklarına doğrudan değil, bir ara düğüm (operatörü tarafından yönetilen Orta ağ erişim noktası) aracılığıyla erişirseniz durum kökten değişir.
Bu durumda ilettiğiniz verileri kim tehlikeye atabilir:
Erişim noktası operatörü. Orta ağ erişim noktasının mevcut operatörünün, ekipmanından geçen şifrelenmemiş trafiği gizlice dinleyebileceği açıktır.
davetsiz misafir (ortadaki adam). Medium'un buna benzer bir sorunu var Tor ağ sorunu, yalnızca giriş ve ara düğümlerle ilgili olarak.
Görünüşe göre bu
karar: Yggdrasil ağı içindeki web hizmetlerine erişmek için HTTPS protokolünü kullanın (seviye 7) OSI modelleri). Sorun şu ki, Yggdrasil ağ hizmetleri için geleneksel yöntemlerle orijinal bir güvenlik sertifikası vermenin mümkün olmamasıdır. Şifreleyelim.
Bu nedenle kendi sertifikasyon merkezimizi kurduk - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Sertifika yetkilisinin kök sertifikasının tehlikeye girme olasılığı elbette dikkate alındı - ancak burada veri aktarımının bütünlüğünü doğrulamak ve MITM saldırıları olasılığını ortadan kaldırmak için sertifika daha gereklidir.
Farklı operatörlerin orta ağ hizmetleri, kök sertifika yetkilisi tarafından şu veya bu şekilde imzalanmış farklı güvenlik sertifikalarına sahiptir. Ancak Kök CA operatörleri, güvenlik sertifikaları imzaladıkları hizmetlerden gelen şifrelenmiş trafiği gizlice dinleyemezler (bkz. “KSS nedir?”).
Özellikle güvenliklerinden endişe duyanlar, ek koruma gibi araçları kullanabilirler. PGP и benzer.
Şu anda Orta ağın ortak anahtar altyapısı, protokolü kullanarak bir sertifikanın durumunu kontrol etme yeteneğine sahiptir. OCSP veya kullanım yoluyla SİL.
asıl konuya gel
Kullanıcı @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
1 adım. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 adım. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
4 adım. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
5 adım. Перезапустите ваш веб-сервер
sudo service nginx restart
Rusya'da Ücretsiz İnternet sizinle başlar
Bugün Rusya'da ücretsiz İnternet'in kurulmasına mümkün olan her türlü yardımı sağlayabilirsiniz. Ağa tam olarak nasıl yardımcı olabileceğinizi gösteren kapsamlı bir liste hazırladık:
Arkadaşlarınıza ve iş arkadaşlarınıza Medium ağından bahsedin. Paylaşmak bağlantı sosyal ağlardaki veya kişisel blogdaki bu makaleye
Medium ağındaki teknik konuların tartışılmasına katılın GitHub'da
Yggdrasil ağında web hizmetinizi oluşturun ve ekleyin Orta ağın DNS'si