Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Thông báo này nhằm mục đích nâng cao sự quan tâm của Cộng đồng đối với vấn đề quyền riêng tư, do trở nên phù hợp hơn bao giờ hết.
Chương trình nghị sự:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Nhắc tôi - "Trung bình" là gì?
Trung bình (Tiếng Anh Trung bình - “trung gian”, khẩu hiệu ban đầu - Đừng yêu cầu sự riêng tư của bạn. Lấy lại; trong tiếng Anh cũng có từ này trung bình có nghĩa là “trung gian”) - nhà cung cấp Internet phi tập trung của Nga cung cấp dịch vụ truy cập mạng miễn phí.
Tên đầy đủ: Nhà cung cấp dịch vụ Internet Medium. Dự án ban đầu được hình thành như в .
Được thành lập vào tháng 2019 năm XNUMX như một phần của việc tạo ra môi trường viễn thông độc lập bằng cách cung cấp cho người dùng cuối quyền truy cập vào tài nguyên mạng Yggdrasil thông qua việc sử dụng công nghệ truyền dữ liệu không dây Wi-Fi.
Thông tin thêm về chủ đề này:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Không cần sử dụng HTTPS để kết nối với các dịch vụ web trên mạng Yggdrasil nếu bạn kết nối với chúng thông qua bộ định tuyến mạng Yggdrasil chạy cục bộ.
Quả thực: Vận chuyển Yggdrasil ngang bằng cho phép bạn sử dụng tài nguyên một cách an toàn trong mạng Yggdrasil - khả năng tiến hành hoàn toàn bị loại trừ.
Tình hình sẽ thay đổi hoàn toàn nếu bạn truy cập tài nguyên mạng nội bộ của Yggdarsil không trực tiếp mà thông qua một nút trung gian - điểm truy cập mạng Trung bình, do nhà điều hành nó quản lý.
Trong trường hợp này, ai có thể xâm phạm dữ liệu bạn truyền tải:
- Nhà điều hành điểm truy cập. Rõ ràng là nhà điều hành điểm truy cập mạng Medium hiện tại có thể nghe lén lưu lượng truy cập không được mã hóa đi qua thiết bị của họ.
- kẻ đột nhập (). Phương tiện có một vấn đề tương tự như , chỉ liên quan đến các nút đầu vào và trung gian.
Đây là những gì nó trông giống như
phán quyết: để truy cập các dịch vụ web trong mạng Yggdrasil, hãy sử dụng giao thức HTTPS (cấp 7 ). Vấn đề là không thể cấp chứng chỉ bảo mật chính hãng cho các dịch vụ mạng Yggdrasil thông qua các phương tiện thông thường như .
Vì vậy, chúng tôi đã thành lập trung tâm chứng nhận của riêng mình - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
Tất nhiên, khả năng xâm phạm chứng chỉ gốc của cơ quan cấp chứng chỉ đã được tính đến - nhưng ở đây chứng chỉ cần thiết hơn để xác nhận tính toàn vẹn của việc truyền dữ liệu và loại bỏ khả năng bị tấn công MITM.
Các dịch vụ mạng trung bình từ các nhà khai thác khác nhau có chứng chỉ bảo mật khác nhau, bằng cách này hay cách khác được cơ quan chứng nhận gốc ký. Tuy nhiên, người vận hành Root CA không thể nghe trộm lưu lượng được mã hóa từ các dịch vụ mà họ đã ký chứng chỉ bảo mật (xem ).
Những người đặc biệt quan tâm đến sự an toàn của mình có thể sử dụng các biện pháp bảo vệ bổ sung, chẳng hạn như и .
Hiện tại, cơ sở hạ tầng khóa công khai của mạng Medium có khả năng kiểm tra trạng thái của chứng chỉ bằng giao thức hoặc thông qua việc sử dụng .
Gần hơn với điểm
Người sử dụng начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Nó cũng cần thiết удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Bước 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Sau đó:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Bước 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confNội dung tập tin domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Bước 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Bước 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
hồ sơ domain.ygg.conf trong thư mục /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
hồ sơ ssl-params.conf trong thư mục /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
hồ sơ domain.ygg.conf trong thư mục /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Bước 5. Перезапустите ваш веб-сервер
sudo service nginx restartInternet miễn phí ở Nga bắt đầu từ bạn
Bạn có thể cung cấp mọi hỗ trợ có thể để thiết lập Internet miễn phí ở Nga ngay hôm nay. Chúng tôi đã biên soạn một danh sách đầy đủ về chính xác cách bạn có thể trợ giúp mạng:
- Giới thiệu với bạn bè và đồng nghiệp của bạn về mạng Medium. Chia sẻ tới bài viết này trên mạng xã hội hoặc blog cá nhân
- Tham gia thảo luận các vấn đề kỹ thuật trên mạng Medium
- Tạo dịch vụ web của bạn trên mạng Yggdrasil và thêm nó vào
- Nâng cao của bạn đến mạng trung bình
Các bản phát hành trước:
Xem thêm:
Chúng tôi đang ở trên Telegram:
Chỉ những người dùng đã đăng ký mới có thể tham gia khảo sát. , xin vui lòng.
Bỏ phiếu thay thế: điều quan trọng là chúng tôi phải biết ý kiến của những người không có tài khoản đầy đủ trên Habré
-
↑
-
↓
7 người dùng bình chọn. 2 người dùng bỏ phiếu trắng.
Nguồn: www.habr.com