Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- ایڈورڈ سنوڈین
اس ڈائجسٹ کا مقصد پرائیویسی کے معاملے میں کمیونٹی کی دلچسپی کو بڑھانا ہے، جس کی روشنی میں پہلے سے کہیں زیادہ متعلقہ ہو جاتا ہے۔
ایجنڈے پر:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
مجھے یاد دلائیں - "میڈیم" کیا ہے؟
درمیانہ (انگریزی درمیانہ - "ثالث"، اصل نعرہ - اپنی پرائیویسی نہ پوچھیں۔ اسے واپس لے لو; انگریزی میں بھی لفظ درمیانہ مطلب "انٹرمیڈیٹ") - ایک روسی وکندریقرت انٹرنیٹ فراہم کنندہ جو نیٹ ورک تک رسائی کی خدمات فراہم کرتا ہے۔ بلا معاوضہ
پورا نام: میڈیم انٹرنیٹ سروس پرووائیڈر۔ ابتدائی طور پر اس منصوبے کا تصور کیا گیا تھا۔ в .
اپریل 2019 میں وائی فائی وائرلیس ڈیٹا ٹرانسمیشن ٹیکنالوجی کے استعمال کے ذریعے اختتامی صارفین کو Yggdrasil نیٹ ورک کے وسائل تک رسائی فراہم کرکے ایک آزاد ٹیلی کمیونیکیشن ماحول کی تخلیق کے حصے کے طور پر تشکیل دیا گیا۔
موضوع پر مزید معلومات:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?اگر آپ مقامی طور پر چلنے والے Yggdrasil نیٹ ورک روٹر کے ذریعے ان سے جڑتے ہیں تو Yggdrasil نیٹ ورک پر ویب سروسز سے منسلک ہونے کے لیے HTTPS استعمال کرنے کی ضرورت نہیں ہے۔
درحقیقت: Yggdrasil ٹرانسپورٹ برابر ہے۔ آپ کو Yggdrasil نیٹ ورک کے اندر وسائل کو محفوظ طریقے سے استعمال کرنے کی اجازت دیتا ہے - چلانے کی صلاحیت مکمل طور پر خارج.
صورت حال یکسر بدل جاتی ہے اگر آپ Yggdarsil کے انٹرانیٹ وسائل تک براہ راست نہیں بلکہ ایک انٹرمیڈیٹ نوڈ کے ذریعے رسائی حاصل کرتے ہیں - میڈیم نیٹ ورک ایکسیس پوائنٹ، جو اس کے آپریٹر کے زیر انتظام ہے۔
اس صورت میں، آپ جو ڈیٹا منتقل کرتے ہیں اس سے کون سمجھوتہ کر سکتا ہے:
- رسائی پوائنٹ آپریٹر. یہ واضح ہے کہ میڈیم نیٹ ورک ایکسیس پوائنٹ کا موجودہ آپریٹر اس کے آلات سے گزرنے والی غیر خفیہ کردہ ٹریفک کو دیکھ سکتا ہے۔
- گھسنے والا ()۔ میڈیم کی طرح ایک مسئلہ ہے۔ ، صرف ان پٹ اور انٹرمیڈیٹ نوڈس کے سلسلے میں۔
یہ ایسا ہی لگتا ہے۔
حل: Yggdrasil نیٹ ورک کے اندر ویب سروسز تک رسائی کے لیے، HTTPS پروٹوکول استعمال کریں (سطح 7 )۔ مسئلہ یہ ہے کہ روایتی ذرائع جیسے کہ Yggdrasil نیٹ ورک سروسز کے لیے حقیقی سیکیورٹی سرٹیفکیٹ جاری کرنا ممکن نہیں ہے۔ .
لہذا، ہم نے اپنا سرٹیفیکیشن سینٹر قائم کیا - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
سرٹیفیکیشن اتھارٹی کے روٹ سرٹیفکیٹ سے سمجھوتہ کرنے کے امکان کو یقیناً مدنظر رکھا گیا تھا - لیکن یہاں ڈیٹا ٹرانسمیشن کی سالمیت کی تصدیق اور MITM حملوں کے امکان کو ختم کرنے کے لیے سرٹیفکیٹ زیادہ ضروری ہے۔
مختلف آپریٹرز کی میڈیم نیٹ ورک سروسز کے پاس مختلف سیکیورٹی سرٹیفکیٹ ہوتے ہیں، جن پر روٹ سرٹیفیکیشن اتھارٹی کے دستخط ہوتے ہیں۔ تاہم، روٹ CA آپریٹرز ان خدمات سے خفیہ کردہ ٹریفک کو چھپانے کے قابل نہیں ہیں جن پر انہوں نے سیکورٹی سرٹیفکیٹ پر دستخط کیے ہیں (دیکھیں ).
جو لوگ خاص طور پر اپنی حفاظت کے بارے میں فکر مند ہیں وہ اضافی تحفظ کے طور پر اس طرح کے ذرائع استعمال کرسکتے ہیں، جیسے и .
فی الحال، میڈیم نیٹ ورک کے عوامی کلیدی بنیادی ڈھانچے میں پروٹوکول کا استعمال کرتے ہوئے سرٹیفکیٹ کی حیثیت کو چیک کرنے کی صلاحیت ہے یا استعمال کے ذریعے .
نقطہ نظر کے قریب
صارف начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .جی جی.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
یہ بھی ضروری ہے۔ удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
1 قدم ہے. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048پھر:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 20482 قدم ہے. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confفائل کے مواد domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 قدم ہے. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
4 قدم ہے. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
فائل domain.ygg.conf ڈائریکٹری میں /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
فائل ssl-params.conf ڈائریکٹری میں /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
فائل domain.ygg.conf ڈائریکٹری میں /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
5 قدم ہے. Перезапустите ваш веб-сервер
sudo service nginx restartروس میں مفت انٹرنیٹ آپ کے ساتھ شروع ہوتا ہے۔
آپ آج روس میں مفت انٹرنیٹ کے قیام کے لیے ہر ممکن مدد فراہم کر سکتے ہیں۔ ہم نے ایک جامع فہرست مرتب کی ہے کہ آپ نیٹ ورک کی مدد کیسے کر سکتے ہیں:
- اپنے دوستوں اور ساتھیوں کو میڈیم نیٹ ورک کے بارے میں بتائیں۔ بانٹیں سوشل نیٹ ورکس یا ذاتی بلاگ پر اس مضمون کے لیے
- میڈیم نیٹ ورک پر تکنیکی مسائل کی بحث میں حصہ لیں۔
- Yggdrasil نیٹ ورک پر اپنی ویب سروس بنائیں اور اسے شامل کریں۔
- اپنا اٹھاؤ درمیانے نیٹ ورک پر
پچھلی ریلیز:
بھی دیکھیں:
ہم ٹیلیگرام پر ہیں:
سروے میں صرف رجسٹرڈ صارفین ہی حصہ لے سکتے ہیں۔ ، برائے مہربانی.
متبادل ووٹنگ: ہمارے لیے ان لوگوں کی رائے جاننا ضروری ہے جن کا Habré پر مکمل اکاؤنٹ نہیں ہے۔
-
↑
-
↓
7 صارفین نے ووٹ دیا۔ 2 صارفین غیر حاضر رہے۔
ماخذ: www.habr.com