"Medium" створює свій DNS всередині мережі Yggdrasil
"Medium" вводить можливість автоматичної видачі сертифікатів, підписаних "Medium Root CA"
Нагадайте мені, що таке «Medium»?
Medium (Англ. Medium - «Посередник», оригінальний слоган - Не вистачає для своєї привілеї. Take it back; також в англійській мові середа означає «проміжний») — російський децентралізований інтернет-провайдер, який надає послуги доступу до мережі Иггдрасиль на безкорисливій основі.
Утворений у квітні 2019 року в рамках створення незалежного телекомунікаційного середовища шляхом надання кінцевим користувачам доступу до ресурсів мережі Yggdrasil за допомогою технології бездротової передачі даних Wi-Fi.
"Medium" повністю переходить на Yggdrasil
Иггдрасиль - це самоорганізована Mesh-мережа, що має можливість підключення роутерів як в режимі оверлея (поверх Інтернету), так і безпосередньо один до одного через дротове або бездротове з'єднання.
Yggdrasil є продовженням проекту CjDNS. Головною відмінністю Yggdrasil від CjDNS є використання протоколу STP (Spanning tree protocol).
За промовчанням всі роутери мережі використовують наскрізне шифрування передачі даних між іншими учасниками.
Рішення переходу всіх точок доступу мережі «Medium» з I2P на Yggdrasil було обумовлено потребою збільшення швидкості з'єднання і можливістю розгортання Mesh-мережі з топологією Full-Mesh.
"Medium" створює свій DNS всередині мережі Yggdrasil
Спочатку в мережі Yggdrasil не було централізованого сервера доменних імен, який міг би дозволити учасникам мережі звертатися до найчастіше відвідуваних ресурсів у більш простій і звичній формі (на відміну від використання IPv6-адреси конкретного сервера).
Ми в «Medium» вирішили вдихнути життя в цю ідею — і, забігаючи трохи вперед, у нас все вийшло!
Реєстрація доменних імен відбувається в автоматичному режимі - досить просто вказати IPv6-адресу сервера, на якому запущено сервіс. Робот перевірить, чи справді ця адреса належить людині, яка здійснює спробу реєстрації доменного імені.
У разі успіху доменне ім'я буде додано до бази даних доменних імен протягом 24 годин. У разі, якщо сервер перестане відповідати роботі та буде недоступний більше 72 годин, доменне ім'я буде звільнено.
Копія повного переліку зареєстрованих доменних імен знаходиться в репозиторії на GitHub.
"Medium" вводить можливість автоматичної видачі сертифікатів, підписаних "Medium Root CA"
Створення сервера доменних імен було також обумовлено необхідністю розгортання інфраструктури відкритих ключів — для того, щоб випустити сертифікат, потрібна наявність у ньому поля CN (Common Name), що є доменне ім'я, для якого випускається сертифікат.
Процедура випуску підписаних сертифікатів, що підтверджує центром, відбувається в автоматичному режимі - робот перевіряє коректність і справжність введених користувачем даних. У разі успіху кінцевому користувачеві надсилається електронний лист, що включає підписаний сертифікат.
Чим обумовлено використання HTTPS у мережі Yggdrasil?
Немає необхідності використовувати протокол HTTPS для з'єднання з веб-сервісами в мережі Yggdrasil, якщо ви підключаєтеся до них через локально працюючий роутер мережі Yggdrasil.
Дійсно: транспорт Yggdrasil на рівні протоколу дозволяє безпечно використовувати ресурси всередині мережі Yggdrasil - можливість проведення MITM-атаки повністю виключено.
Ситуація докорінно змінюється, якщо ви отримуєте доступ до внутрішньомережевих ресурсів Yggdarsil не безпосередньо, а через проміжний вузол — точку доступу мережі Media, яку адмініструє її оператор.
Хто в такому разі може скомпрометувати дані, які ви передаєте:
Оператор точки доступу. Очевидно, що оператор точки доступу мережі «Medium», що діє, може прослуховувати незашифрований трафік, який проходить через його обладнання.
Рішення: для доступу до веб-сервісів у мережі Yggdrasil використовувати протокол HTTPS (7 рівень моделі OSI). Проблема полягає в тому, що для сервісів мережі Yggdrasil неможливо випустити справжній сертифікат безпеки звичайними засобами, такими як Давай шифрувати.
Тому ми заснували власний центр сертифікації. "Medium Root CA". Всі послуги мережі «Medium» підписані кореневим сертифікатом безпеки цього центру сертифікації.
Можливість компрометації кореневого сертифіката центру сертифікації, безумовно, було прийнято до уваги — але тут сертифікат більше необхідний для підтвердження цілісності передачі даних та виключення можливості проведення MITM-атак.
Сервіси мережі «Medium» від різних операторів мають різні сертифікати безпеки, так чи інакше підписані кореневим центром, що засвідчує. Проте оператори кореневого центру, що посвідчує, не мають можливості прослуховувати зашифрований трафік сервісів, яким вони підписали сертифікати безпеки (див. Що таке CSR?).
Ті, хто особливо піклується про свою безпеку, можуть використовувати як додатковий захист такі засоби, як PGP и подібні.
Наразі інфраструктура відкритих ключів мережі «Medium» має можливість перевірки статусу сертифіката за протоколом OCSP або за допомогою використання C.R.L..
Вільний Інтернет у Росії починається з Вас
Ви можете надати посильну допомогу становленню вільного Інтернету у Росії вже сьогодні. Ми склали вичерпний перелік того, чим саме ви можете допомогти мережі:
Розкажіть про мережу «Medium» своїм друзям та колегам. Поділіться посиланням на цю статтю в соціальних мережах чи персональному блозі
Візьміть участь в обговоренні технічних питань мережі «Medium» на GitHub
Створіть свій веб-сервіс у мережі Yggdrasil і додайте його до DNS мережі «Medium»