Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- עדוואַרד סנאָוודען
דעם דיידזשעסט איז בדעה צו פאַרגרעסערן די קהילה ס אינטערעס אין די אַרויסגעבן פון פּריוואַטקייט, וואָס, אין ליכט פון ווערט מער באַטייַטיק ווי אלץ פריער.
אויף די סדר:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
דערמאָנען מיר - וואָס איז "מיטל"?
מיטל (ענגליש מיטל - "ינערמידיערי", אָריגינעל קלינגוואָרט - דו זאלסט נישט פרעגן פֿאַר דיין פּריוואַטקייט. נעמען עס צוריק; אויך אין ענגליש די וואָרט מיטל מיטל "ינטערמידייט") - אַ רוסיש דיסענטראַלייזד אינטערנעט שפּייַזער פּראַוויידינג נעץ אַקסעס באַדינונגס פֿרייַ פון אָפּצאָל.
גאַנץ נאָמען: מיטל אינטערנעט סערוויס פּראַוויידער. די פּרויעקט איז געווען ערידזשנאַלי קאַנסיווד ווי в .
געגרינדעט אין אפריל 2019 ווי אַ טייל פון דער שאַפונג פון אַן אומאָפּהענגיק טעלאַקאַמיונאַקיישאַנז סוויווע דורך פּראַוויידינג סוף ניצערס אַקסעס צו Yggdrasil נעץ רעסורסן דורך די נוצן פון Wi-Fi וויירליס דאַטן טראַנסמיסיע טעכנאָלאָגיע.
Больше информации по теме:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?עס איז ניט דאַרפֿן צו נוצן HTTPS צו פאַרבינדן צו וועב באַדינונגס אויף די Yggdrasil נעץ אויב איר פאַרבינדן צו זיי דורך אַ לאָוקאַלי פליסנדיק Yggdrasil נעץ ראַוטער.
טאַקע: Yggdrasil אַריבערפירן איז אויף פּאַר אַלאַוז איר צו בעשאָלעם נוצן רעסורסן אין די Yggdrasil נעץ - די פיייקייט צו פירן גאָר יקסקלודיד.
די סיטואַציע ענדערונגען ראַדיקאַללי אויב איר אַקסעס די ינטראַנעט רעסורסן פון Yggdarsil ניט גלייַך, אָבער דורך אַ ינטערמידייט נאָדע - די מיטל נעץ אַקסעס פונט, וואָס איז אַדמינאַסטערד דורך זיין אָפּעראַטאָר.
אין דעם פאַל, ווער קען קאָמפּראָמיס די דאַטן איר טראַנסמיסיע:
- אַקסעס פונט אָפּעראַטאָר. עס איז קלאָר ווי דער טאָג אַז דער קראַנט אָפּעראַטאָר פון די מיטל נעץ אַקסעס פונט קענען אָוזדראָפּ אויף אַנענקריפּטיד פאַרקער וואָס פּאַסיז דורך זיין ויסריכט.
- ינטרודער (). מיטל האט אַ פּראָבלעם ענלעך צו , בלויז אין באַציונג צו אַרייַנשרייַב און ינטערמידייט נאָודז.
דאָס איז וואָס עס קוקט ווי
באַשייד: צו אַקסעס וועב באַדינונגס אין די Yggdrasil נעץ, נוצן די HTTPS פּראָטאָקאָל (מדרגה 7 ). דער פּראָבלעם איז אַז עס איז ניט מעגלעך צו אַרויסגעבן אַן עכט זיכערהייט באַווייַזן פֿאַר Yggdrasil נעץ באַדינונגס דורך נאָרמאַל מיטלען אַזאַ ווי .
דעריבער, מיר געגרינדעט אונדזער אייגענע סערטאַפאַקיישאַן צענטער - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
די מעגלעכקייט פון קאַמפּראַמייזינג די וואָרצל באַווייַזן פון די סערטאַפאַקיישאַן אויטאָריטעט איז, פון קורס, גענומען אין חשבון - אָבער דאָ די באַווייַזן איז מער נייטיק צו באַשטעטיקן די אָרנטלעכקייַט פון דאַטן טראַנסמיסיע און עלימינירן די מעגלעכקייט פון MITM אנפאלן.
מיטל נעץ באַדינונגס פון פאַרשידענע אָפּערייטערז האָבן פאַרשידענע זיכערהייט סערטיפיקאַץ, איין וועג אָדער אנדערן געחתמעט דורך די וואָרצל סערטאַפאַקיישאַן אויטאָריטעט. אָבער, וואָרצל CA אָפּערייטערז זענען נישט ביכולת צו אָוזדראָפּ אויף ינקריפּטיד פאַרקער פון סערוויסעס צו וואָס זיי האָבן געחתמעט זיכערהייט סערטיפיקאַץ (זען ).
די וואס זענען ספּעציעל זארגן וועגן זייער זיכערקייַט קענען נוצן אַזאַ מיטלען ווי נאָך שוץ, אַזאַ ווי и .
דערווייַל, דער ציבור שליסל ינפראַסטראַקטשער פון די מיטל נעץ האט די פיייקייט צו קאָנטראָלירן די סטאַטוס פון אַ באַווייַזן מיט דעם פּראָטאָקאָל אָדער דורך נוצן .
באַקומען צו דעם פונט
באַניצער начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .גג.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
עס איז אויך נייטיק удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
שריט קסנומקס. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048דעריבער:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048שריט קסנומקס. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confטעקע אינהאַלט domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
שריט קסנומקס. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
שריט קסנומקס. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
טעקע domain.ygg.conf אין דער וועגווייַזער /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
טעקע ssl-params.conf אין דער וועגווייַזער /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
טעקע domain.ygg.conf אין דער וועגווייַזער /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
שריט קסנומקס. Перезапустите ваш веб-сервер
sudo service nginx restartפריי אינטערנעט אין רוסלאַנד סטאַרץ מיט איר
איר קענען צושטעלן אַלע מעגלעך הילף צו די פאַרלייגן פון אַ פריי אינטערנעט אין רוסלאַנד הייַנט. מיר האָבן צונויפגעשטעלט אַ פולשטענדיק רשימה פון פּונקט ווי איר קענען העלפֿן די נעץ:
- דערציילן דיין פרענדז און חברים וועגן די מיטל נעץ. ייַנטיילן צו דעם אַרטיקל אויף געזעלשאַפטלעך נעטוואָרקס אָדער פּערזענלעך בלאָג
- נעמען אָנטייל אין די דיסקוסיע פון טעכניש ישוז אויף די מיטל נעץ
- שאַפֿן דיין וועב סערוויס אויף די Yggdrasil נעץ און לייגן עס צו
- הייבן דיין צו די מיטל נעץ
פריערדיקע מעלדונגען:
זען אויך:
מיר זענען אויף טעלעגראַם:
בלויז רעגיסטרירט ניצערס קענען אָנטייל נעמען אין די יבערבליק. ביטע.
אַלטערנאַטיווע אָפּשטימונג: עס איז וויכטיק פֿאַר אונדז צו וויסן די מיינונג פון די וואָס טאָן ניט האָבן אַ פול חשבון אויף Habré
-
↑
-
↓
7 באנוצער האבן געשטימט. 2 באנוצער האבן זיך אפגעהאלטן.
מקור: www.habr.com