Ми постійно чуємо фразу «національна безпека», але коли держава починає стежити за нашим спілкуванням, фіксуючи його без вагомих підозр, юридичної підстави і без будь-якої видимої мети, ми повинні поставити собі питання: вони й справді захищають національну безпеку чи вони захищають свою власну?
- Едвард Сноуден
Цей дайджест покликаний підвищити інтерес Співтовариства до проблеми приватності, яка у світлі останніх подій стає як ніколи раніше актуальною.
На порядку денному:
Ентузіасти спільноти децентралізованого інтернет-провайдера «Medium» створюють свій пошуковий двигун
«Medium» заснував новий центр «Medium Global Root CA». Кого торкнуться змін?
Сертифікати безпеки в кожний будинок — як створити свій сервіс у мережі Yggdrasil та випустити для нього валідний SSL-сертифікат
Нагадайте мені, що таке «Medium»?
Medium (Англ. Medium - «Посередник», оригінальний слоган - Не вистачає для своєї привілеї. Take it back; також в англійській мові середа означає «проміжний») — російський децентралізований інтернет-провайдер, який надає послуги доступу до мережі Иггдрасиль на безкорисливій основі.
Утворений у квітні 2019 року в рамках створення незалежного телекомунікаційного середовища шляхом надання кінцевим користувачам доступу до ресурсів мережі Yggdrasil за допомогою технології бездротової передачі даних Wi-Fi.
Ентузіасти спільноти децентралізованого інтернет-провайдера «Medium» створюють свій пошуковий двигун
Спочатку в мережі Иггдрасиль, яку децентралізований інтернет-провайдер "Medium" використовує як транспорт, не було ні свого DNS-сервера, ні інфраструктури відкритих ключів - проте потреба у випуску сертифікатів безпеки для сервісів мережі "Medium" вирішила ці дві проблеми.
Навіщо потрібний PKI, якщо Yggdrasil «з коробки» надає можливість шифрування трафіку між бенкетами?Немає необхідності використовувати протокол HTTPS для з'єднання з веб-сервісами в мережі Yggdrasil, якщо ви підключаєтеся до них через локально працюючий роутер мережі Yggdrasil.
Дійсно: транспорт Yggdrasil на рівні протоколу дозволяє безпечно використовувати ресурси всередині мережі Yggdrasil - можливість проведення MITM-атаки повністю виключено.
Ситуація докорінно змінюється, якщо ви отримуєте доступ до внутрішньомережевих ресурсів Yggdarsil не безпосередньо, а через проміжний вузол — точку доступу мережі Media, яку адмініструє її оператор.
Хто в такому разі може скомпрометувати дані, які ви передаєте:
Оператор точки доступу. Очевидно, що оператор точки доступу мережі «Medium», що діє, може прослуховувати незашифрований трафік, який проходить через його обладнання.
Рішення: для доступу до веб-сервісів у мережі Yggdrasil використовувати протокол HTTPS (7 рівень моделі OSI). Проблема полягає в тому, що для сервісів мережі Yggdrasil неможливо випустити справжній сертифікат безпеки звичайними засобами, такими як Давай шифрувати.
Тому ми заснували власний центр сертифікації. "Medium Global Root CA". Переважна більшість сервісів мережі "Medium" підписана кореневим сертифікатом безпеки проміжного центру сертифікації "Medium Domain Validation Secure Server CA".
Можливість компрометації кореневого сертифіката центру сертифікації, безумовно, було прийнято до уваги — але тут сертифікат більше необхідний для підтвердження цілісності передачі даних та виключення можливості проведення MITM-атак.
Сервіси мережі «Medium» від різних операторів мають різні сертифікати безпеки, так чи інакше підписані кореневим центром, що засвідчує. Проте оператори кореневого центру, що посвідчує, не мають можливості прослуховувати зашифрований трафік сервісів, яким вони підписали сертифікати безпеки (див. Що таке CSR?).
Ті, хто особливо піклується про свою безпеку, можуть використовувати як додатковий захист такі засоби, як PGP и подібні.
Наразі інфраструктура відкритих ключів мережі «Medium» має можливість перевірки статусу сертифіката за протоколом OCSP або за допомогою використання C.R.L..
Ближче до діла
Користувач @NXShock почав розробку пошукового движка для веб-сервісів, розташованих у мережі Yggdrasil. Важливим аспектом є той факт, що визначення IPv6-адрес сервісів під час пошуку здійснюється шляхом направлення запиту на DNS-сервер, розташований усередині мережі «Medium».
Основним TLD є .ygg. Більшість доменних імен мають цей TLD, за винятком двох: .isp и .gg.
Пошуковий двигун знаходиться на стадії розробки, але його використання вже можливе сьогодні - достатньо відвідати сайт search.medium.isp.
«Medium» заснував новий центр «Medium Global Root CA». Кого торкнуться змін?
Вчора завершилося публічне тестування функціоналу центру «Medium Root CA». Після закінчення тестування було виправлено помилки в роботі сервісів інфраструктури відкритих ключів і було створено новий кореневий сертифікат посвідчувального центру «Medium Global Root CA».
Було враховано всі нюанси та особливості PKI — тепер новий сертифікат УЦ «Medium Global Root CA» буде випущений лише через десять років (закінчивши його термін дії). Тепер сертифікати безпеки видаються лише проміжними сертифікаційними центрами – наприклад, Media Domain Validation Secure Server CA.
Як тепер виглядає ланцюжок довіри сертифікатів?
Що необхідно зробити, щоб все запрацювало, якщо ви користувач:
Так як деякі сервіси використовують HSTS, перед початком використання ресурсів мережі "Medium" необхідно видалити дані внутрішньомережевих ресурсів "Medium". Зробити це можна на вкладці "Історія" вашого браузера.
Що необхідно зробити, щоб все запрацювало, якщо ви системний оператор:
Вам необхідно перевипустити сертифікат для вашого сервісу на сторінці pki.medium.isp (сервіс доступний лише у мережі «Medium»).
Сертифікати безпеки в кожний будинок — як створити свій сервіс у мережі Yggdrasil та випустити для нього валідний SSL-сертифікат
У зв'язку зі зростанням кількості внутрішньомережевих сервісів мережі «Medium» зросла потреба у випуску нових сертифікатів безпеки та налаштування своїх сервісів таким чином, щоб вони підтримували SSL.
Оскільки Хабр є технічним ресурсом, у кожному новому дайджесті один із пунктів порядку денного розкриватиме технічні особливості інфраструктури мережі «Medium». Наприклад, нижче представлена вичерпна інструкція з випуску SSL сертифіката для свого сервісу.
У прикладах буде вказано доменне ім'я domain.ygg, яке потрібно замінити на доменне ім'я вашого сервісу.
Крок 1. Згенеруйте приватний ключ та параметри Діффі-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Крок 3. Надішліть запит на отримання сертифіката
Для цього скопіюйте вміст файлу domain.ygg.csr та вставте його у текстове поле на сайті pki.medium.isp.
Виконайте вказівки, вказані на сайті, потім натисніть «Надіслати». На вказану вами адресу електронної пошти у разі успіху прийде повідомлення, що містить вкладення у вигляді підписаного проміжним центром сертифіката.
Крок 4. Налаштуйте ваш веб-сервер
Якщо ви використовуєте nginx як веб-сервер, використовуйте таку конфігурацію:
Файл domain.ygg.conf у директорії /etc/nginx/sites-available/
Сертифікат, отриманий вами електронною поштою, необхідно скопіювати на адресу /etc/ssl/certs/domain.ygg.crt. Приватний ключ (domain.ygg.key) помістіть у директорію /etc/ssl/private/.
Крок 5. Перезапустіть ваш веб-сервер
sudo service nginx restart
Вільний Інтернет у Росії починається з Вас
Ви можете надати посильну допомогу становленню вільного Інтернету у Росії вже сьогодні. Ми склали вичерпний перелік того, чим саме ви можете допомогти мережі:
Розкажіть про мережу «Medium» своїм друзям та колегам. Поділіться посиланням на цю статтю в соціальних мережах чи персональному блозі
Візьміть участь в обговоренні технічних питань мережі «Medium» на GitHub
Створіть свій веб-сервіс у мережі Yggdrasil і додайте його до DNS мережі «Medium»