Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edvard Snouden
Ushbu dayjest hamjamiyatning shaxsiy daxlsizlik masalasiga qiziqishini oshirishga qaratilgan. so'nggi voqealar har qachongidan ham dolzarb bo‘lib qoladi.
Kun tartibida:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Eslatib o'tamiz - "O'rta" nima?
o'rta (Eng. o'rta - "vositachi", original shior - Maxfiyligingizni so'ramang. Uni qaytarib oling; ingliz tilida ham so'z o'rta "oraliq" degan ma'noni anglatadi) - tarmoqqa kirish xizmatlarini taqdim etuvchi Rossiyaning markazlashtirilmagan Internet-provayderi Yggdrassil'den bepul.
2019-yil aprel oyida Wi-Fi simsiz maʼlumotlarni uzatish texnologiyasidan foydalangan holda oxirgi foydalanuvchilarga Yggdrasil tarmoq resurslariga kirishni taʼminlash orqali mustaqil telekommunikatsiya muhitini yaratish doirasida tashkil etilgan.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrassil'den, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Yggdrasil tarmog'idagi veb-xizmatlarga mahalliy ishlaydigan Yggdrasil tarmoq routeri orqali ulansangiz, HTTPS-dan foydalanishga hojat yo'q.
Haqiqatan ham: Yggdrasil transporti teng darajada protokol Yggdrasil tarmog'idagi resurslardan xavfsiz foydalanish imkonini beradi - o'tkazish qobiliyati MITM hujumlari butunlay chiqarib tashlangan.
Agar siz Yggdarsil intranet resurslariga to'g'ridan-to'g'ri emas, balki oraliq tugun - uning operatori tomonidan boshqariladigan O'rta tarmoq kirish nuqtasi orqali kirsangiz, vaziyat tubdan o'zgaradi.
Bunday holda, siz uzatgan ma'lumotlarni kim buzishi mumkin:
Kirish nuqtasi operatori. O'rta tarmoqqa kirish nuqtasining amaldagi operatori o'z uskunasidan o'tadigan shifrlanmagan trafikni tinglashi mumkinligi aniq.
qaror: Yggdrasil tarmog'idagi veb-xizmatlarga kirish uchun HTTPS protokolidan foydalaning (7-daraja OSI modellari). Muammo shundaki, Yggdrasil tarmoq xizmatlari uchun haqiqiy xavfsizlik sertifikatini an'anaviy vositalar orqali berish mumkin emas. Keling, shifrlanamiz.
Shuning uchun biz o'z sertifikatlashtirish markazimizni yaratdik - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Sertifikatlash organining ildiz sertifikatini buzish ehtimoli, albatta, hisobga olindi - lekin bu erda sertifikat ma'lumotlar uzatishning yaxlitligini tasdiqlash va MITM hujumlari ehtimolini bartaraf etish uchun ko'proq kerak.
Turli operatorlarning o'rta tarmoq xizmatlari turli xil xavfsizlik sertifikatlariga ega, u yoki bu tarzda ildiz sertifikatlash organi tomonidan imzolangan. Biroq, Root CA operatorlari xavfsizlik sertifikatlarini imzolagan xizmatlardan shifrlangan trafikni tinglay olmaydilar (qarang. "KSS nima?").
Ayniqsa, ularning xavfsizligi haqida qayg'uradiganlar qo'shimcha himoya kabi vositalardan foydalanishlari mumkin, masalan PGP и o'xshash.
Hozirgi vaqtda Medium tarmog'ining ochiq kalitlar infratuzilmasi protokol yordamida sertifikat holatini tekshirish imkoniyatiga ega. OCSP yoki foydalanish orqali C.R.L..
Gapga keling
Foydalanuvchi @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
1 qadam. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
3 qadam. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
4 qadam. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
5 qadam. Перезапустите ваш веб-сервер
sudo service nginx restart
Rossiyada bepul Internet sizdan boshlanadi
Bugungi kunda Rossiyada bepul Internetni o'rnatish uchun har tomonlama yordam bera olasiz. Biz tarmoqqa qanday yordam berishingiz mumkinligining to'liq ro'yxatini tuzdik:
Do'stlaringiz va hamkasblaringizga Medium tarmog'i haqida aytib bering. Ulashish ma'lumotnoma ijtimoiy tarmoqlarda yoki shaxsiy blogda ushbu maqolaga
Medium tarmog'ida texnik masalalarni muhokama qilishda ishtirok eting GitHub-da
Yggdrasil tarmog'ida veb-xizmatingizni yarating va uni qo'shing O'rta tarmoqning DNS