Ми постійно чуємо фразу «національна безпека», але коли держава починає стежити за нашим спілкуванням, фіксуючи його без вагомих підозр, юридичної підстави і без будь-якої видимої мети, ми повинні поставити собі питання: вони й справді захищають національну безпеку чи вони захищають свою власну?
- Едвард Сноуден
Цей дайджест покликаний підвищити інтерес Співтовариства до проблеми приватності, яка у світлі стає як ніколи раніше актуальною.
На порядку денному:
Ентузіасти спільноти децентралізованого інтернет-провайдера «Medium» створюють свій пошуковий двигун
«Medium» заснував новий центр «Medium Global Root CA». Кого торкнуться змін?
Сертифікати безпеки в кожний будинок — як створити свій сервіс у мережі Yggdrasil та випустити для нього валідний SSL-сертифікат
Нагадайте мені, що таке «Medium»?
Medium (Англ. Medium - «Посередник», оригінальний слоган - Не вистачає для своєї привілеї. Take it back; також в англійській мові середа означає «проміжний») — російський децентралізований інтернет-провайдер, який надає послуги доступу до мережі на безкорисливій основі.
Повне найменування - Medium Internet Service Provider. Спочатку проект замислювався як в .
Утворений у квітні 2019 року в рамках створення незалежного телекомунікаційного середовища шляхом надання кінцевим користувачам доступу до ресурсів мережі Yggdrasil за допомогою технології бездротової передачі даних Wi-Fi.
Більше інформації на тему:
Ентузіасти спільноти децентралізованого інтернет-провайдера «Medium» створюють свій пошуковий двигун
Спочатку в мережі , яку децентралізований інтернет-провайдер "Medium" використовує як транспорт, не було ні свого DNS-сервера, ні інфраструктури відкритих ключів - проте потреба у випуску сертифікатів безпеки для сервісів мережі "Medium" вирішила ці дві проблеми.
Навіщо потрібний PKI, якщо Yggdrasil «з коробки» надає можливість шифрування трафіку між бенкетами?Немає необхідності використовувати протокол HTTPS для з'єднання з веб-сервісами в мережі Yggdrasil, якщо ви підключаєтеся до них через локально працюючий роутер мережі Yggdrasil.
Дійсно: транспорт Yggdrasil на рівні дозволяє безпечно використовувати ресурси всередині мережі Yggdrasil - можливість проведення повністю виключено.
Ситуація докорінно змінюється, якщо ви отримуєте доступ до внутрішньомережевих ресурсів Yggdarsil не безпосередньо, а через проміжний вузол — точку доступу мережі Media, яку адмініструє її оператор.
Хто в такому разі може скомпрометувати дані, які ви передаєте:
- Оператор точки доступу. Очевидно, що оператор точки доступу мережі «Medium», що діє, може прослуховувати незашифрований трафік, який проходить через його обладнання.
- зловмисник (). «Medium» має проблему, схожу на , тільки щодо вхідних та проміжних вузлів.
Ось так ця справа виглядає
Рішення: для доступу до веб-сервісів у мережі Yggdrasil використовувати протокол HTTPS (7 рівень ). Проблема полягає в тому, що для сервісів мережі Yggdrasil неможливо випустити справжній сертифікат безпеки звичайними засобами, такими як .
Тому ми заснували власний центр сертифікації. . Переважна більшість сервісів мережі "Medium" підписана кореневим сертифікатом безпеки проміжного центру сертифікації "Medium Domain Validation Secure Server CA".
Можливість компрометації кореневого сертифіката центру сертифікації, безумовно, було прийнято до уваги — але тут сертифікат більше необхідний для підтвердження цілісності передачі даних та виключення можливості проведення MITM-атак.
Сервіси мережі «Medium» від різних операторів мають різні сертифікати безпеки, так чи інакше підписані кореневим центром, що засвідчує. Проте оператори кореневого центру, що посвідчує, не мають можливості прослуховувати зашифрований трафік сервісів, яким вони підписали сертифікати безпеки (див. ).
Ті, хто особливо піклується про свою безпеку, можуть використовувати як додатковий захист такі засоби, як и .
Наразі інфраструктура відкритих ключів мережі «Medium» має можливість перевірки статусу сертифіката за протоколом або за допомогою використання .
Ближче до діла
Користувач почав розробку пошукового движка для веб-сервісів, розташованих у мережі Yggdrasil. Важливим аспектом є той факт, що визначення IPv6-адрес сервісів під час пошуку здійснюється шляхом направлення запиту на DNS-сервер, розташований усередині мережі «Medium».
Основним TLD є .ygg. Більшість доменних імен мають цей TLD, за винятком двох: .isp и .gg.
Пошуковий двигун знаходиться на стадії розробки, але його використання вже можливе сьогодні - достатньо відвідати сайт .
Ви можете допомогти розвитку проекту, .
«Medium» заснував новий центр «Medium Global Root CA». Кого торкнуться змін?
Вчора завершилося публічне тестування функціоналу центру «Medium Root CA». Після закінчення тестування було виправлено помилки в роботі сервісів інфраструктури відкритих ключів і було створено новий кореневий сертифікат посвідчувального центру «Medium Global Root CA».
Було враховано всі нюанси та особливості PKI — тепер новий сертифікат УЦ «Medium Global Root CA» буде випущений лише через десять років (закінчивши його термін дії). Тепер сертифікати безпеки видаються лише проміжними сертифікаційними центрами – наприклад, Media Domain Validation Secure Server CA.
Як тепер виглядає ланцюжок довіри сертифікатів?
Що необхідно зробити, щоб все запрацювало, якщо ви користувач:
Так як деякі сервіси використовують HSTS, перед початком використання ресурсів мережі "Medium" необхідно видалити дані внутрішньомережевих ресурсів "Medium". Зробити це можна на вкладці "Історія" вашого браузера.
Так потрібно посвідчувального центру "Medium Global Root CA".
Що необхідно зробити, щоб все запрацювало, якщо ви системний оператор:
Вам необхідно перевипустити сертифікат для вашого сервісу на сторінці (сервіс доступний лише у мережі «Medium»).
Сертифікати безпеки в кожний будинок — як створити свій сервіс у мережі Yggdrasil та випустити для нього валідний SSL-сертифікат
У зв'язку зі зростанням кількості внутрішньомережевих сервісів мережі «Medium» зросла потреба у випуску нових сертифікатів безпеки та налаштування своїх сервісів таким чином, щоб вони підтримували SSL.
Оскільки Хабр є технічним ресурсом, у кожному новому дайджесті один із пунктів порядку денного розкриватиме технічні особливості інфраструктури мережі «Medium». Наприклад, нижче представлена вичерпна інструкція з випуску SSL сертифіката для свого сервісу.
У прикладах буде вказано доменне ім'я domain.ygg, яке потрібно замінити на доменне ім'я вашого сервісу.
Крок 1. Згенеруйте приватний ключ та параметри Діффі-Хеллмана
openssl genrsa -out domain.ygg.key 2048Потім:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Крок 2. Створіть запит на підпис сертифіката
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confВміст файлу domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Крок 3. Надішліть запит на отримання сертифіката
Для цього скопіюйте вміст файлу domain.ygg.csr та вставте його у текстове поле на сайті .
Виконайте вказівки, вказані на сайті, потім натисніть «Надіслати». На вказану вами адресу електронної пошти у разі успіху прийде повідомлення, що містить вкладення у вигляді підписаного проміжним центром сертифіката.
Крок 4. Налаштуйте ваш веб-сервер
Якщо ви використовуєте nginx як веб-сервер, використовуйте таку конфігурацію:
Файл domain.ygg.conf у директорії /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
Файл ssl-params.conf у директорії /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
Файл domain.ygg.conf у директорії /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертифікат, отриманий вами електронною поштою, необхідно скопіювати на адресу /etc/ssl/certs/domain.ygg.crt. Приватний ключ (domain.ygg.key) помістіть у директорію /etc/ssl/private/.
Крок 5. Перезапустіть ваш веб-сервер
sudo service nginx restartВільний Інтернет у Росії починається з Вас
Ви можете надати посильну допомогу становленню вільного Інтернету у Росії вже сьогодні. Ми склали вичерпний перелік того, чим саме ви можете допомогти мережі:
- Розкажіть про мережу «Medium» своїм друзям та колегам. Поділіться на цю статтю в соціальних мережах чи персональному блозі
- Візьміть участь в обговоренні технічних питань мережі «Medium»
- Створіть свій веб-сервіс у мережі Yggdrasil і додайте його до
- Підніміть свою до мережі «Medium»
Попередні випуски:
Читайте також:
Ми в Telegram:
Тільки зареєстровані користувачі можуть брати участь в опитуванні. , будь ласка.
Альтернативне голосування: нам важливо знати думку тих, хто не має повноправного облікового запису на Хабрі
-
↑
-
↓
Проголосували 7 користувачів. Утрималися 2 користувача.
Джерело: habr.com