Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- עדוואַרד סנאָוודען
דעם דיידזשעסט איז בדעה צו פאַרגרעסערן די קהילה ס אינטערעס אין די אַרויסגעבן פון פּריוואַטקייט, וואָס, אין ליכט פון לעצט געשעענישן ווערט מער באַטייַטיק ווי אלץ פריער.
אויף די סדר:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
דערמאָנען מיר - וואָס איז "מיטל"?
מיטל (ענגליש מיטל - "ינערמידיערי", אָריגינעל קלינגוואָרט - דו זאלסט נישט פרעגן פֿאַר דיין פּריוואַטקייט. נעמען עס צוריק; אויך אין ענגליש די וואָרט מיטל מיטל "ינטערמידייט") - אַ רוסיש דיסענטראַלייזד אינטערנעט שפּייַזער פּראַוויידינג נעץ אַקסעס באַדינונגס Yggdrasil פֿרייַ פון אָפּצאָל.
גאַנץ נאָמען: מיטל אינטערנעט סערוויס פּראַוויידער. די פּרויעקט איז געווען ערידזשנאַלי קאַנסיווד ווי מעש נעץ в קאָלאָמנאַ שטאָטיש דיסטריקט.
געגרינדעט אין אפריל 2019 ווי אַ טייל פון דער שאַפונג פון אַן אומאָפּהענגיק טעלאַקאַמיונאַקיישאַנז סוויווע דורך פּראַוויידינג סוף ניצערס אַקסעס צו Yggdrasil נעץ רעסורסן דורך די נוצן פון Wi-Fi וויירליס דאַטן טראַנסמיסיע טעכנאָלאָגיע.
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети Yggdrasil, которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?עס איז ניט דאַרפֿן צו נוצן HTTPS צו פאַרבינדן צו וועב באַדינונגס אויף די Yggdrasil נעץ אויב איר פאַרבינדן צו זיי דורך אַ לאָוקאַלי פליסנדיק Yggdrasil נעץ ראַוטער.
טאַקע: Yggdrasil אַריבערפירן איז אויף פּאַר פּראָטאָקאָל אַלאַוז איר צו בעשאָלעם נוצן רעסורסן אין די Yggdrasil נעץ - די פיייקייט צו פירן מיטם אנפאלן גאָר יקסקלודיד.
די סיטואַציע ענדערונגען ראַדיקאַללי אויב איר אַקסעס די ינטראַנעט רעסורסן פון Yggdarsil ניט גלייַך, אָבער דורך אַ ינטערמידייט נאָדע - די מיטל נעץ אַקסעס פונט, וואָס איז אַדמינאַסטערד דורך זיין אָפּעראַטאָר.
אין דעם פאַל, ווער קען קאָמפּראָמיס די דאַטן איר טראַנסמיסיע:
באַשייד: צו אַקסעס וועב באַדינונגס אין די Yggdrasil נעץ, נוצן די HTTPS פּראָטאָקאָל (מדרגה 7 OSI מאָדעלס). דער פּראָבלעם איז אַז עס איז ניט מעגלעך צו אַרויסגעבן אַן עכט זיכערהייט באַווייַזן פֿאַר Yggdrasil נעץ באַדינונגס דורך נאָרמאַל מיטלען אַזאַ ווי זאל ס ענקריפּט.
דעריבער, מיר געגרינדעט אונדזער אייגענע סערטאַפאַקיישאַן צענטער - «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
די מעגלעכקייט פון קאַמפּראַמייזינג די וואָרצל באַווייַזן פון די סערטאַפאַקיישאַן אויטאָריטעט איז, פון קורס, גענומען אין חשבון - אָבער דאָ די באַווייַזן איז מער נייטיק צו באַשטעטיקן די אָרנטלעכקייַט פון דאַטן טראַנסמיסיע און עלימינירן די מעגלעכקייט פון MITM אנפאלן.
מיטל נעץ באַדינונגס פון פאַרשידענע אָפּערייטערז האָבן פאַרשידענע זיכערהייט סערטיפיקאַץ, איין וועג אָדער אנדערן געחתמעט דורך די וואָרצל סערטאַפאַקיישאַן אויטאָריטעט. אָבער, וואָרצל CA אָפּערייטערז זענען נישט ביכולת צו אָוזדראָפּ אויף ינקריפּטיד פאַרקער פון סערוויסעס צו וואָס זיי האָבן געחתמעט זיכערהייט סערטיפיקאַץ (זען "וואָס איז CSR?").
די וואס זענען ספּעציעל זארגן וועגן זייער זיכערקייַט קענען נוצן אַזאַ מיטלען ווי נאָך שוץ, אַזאַ ווי PGP и ענלעך.
דערווייַל, דער ציבור שליסל ינפראַסטראַקטשער פון די מיטל נעץ האט די פיייקייט צו קאָנטראָלירן די סטאַטוס פון אַ באַווייַזן מיט דעם פּראָטאָקאָל OCSP אָדער דורך נוצן C.R.L..
באַקומען צו דעם פונט
באַניצער @NXShock начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .גג.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт search.medium.isp.
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице pki.medium.isp (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
שריט קסנומקס. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
שריט קסנומקס. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте pki.medium.isp.
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
שריט קסנומקס. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
טעקע domain.ygg.conf אין דער וועגווייַזער /etc/nginx/sites-available/
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
שריט קסנומקס. Перезапустите ваш веб-сервер
sudo service nginx restart
פריי אינטערנעט אין רוסלאַנד סטאַרץ מיט איר
איר קענען צושטעלן אַלע מעגלעך הילף צו די פאַרלייגן פון אַ פריי אינטערנעט אין רוסלאַנד הייַנט. מיר האָבן צונויפגעשטעלט אַ פולשטענדיק רשימה פון פּונקט ווי איר קענען העלפֿן די נעץ:
דערציילן דיין פרענדז און חברים וועגן די מיטל נעץ. ייַנטיילן דערמאָנען צו דעם אַרטיקל אויף געזעלשאַפטלעך נעטוואָרקס אָדער פּערזענלעך בלאָג
נעמען אָנטייל אין די דיסקוסיע פון טעכניש ישוז אויף די מיטל נעץ אויף GitHub
שאַפֿן דיין וועב סערוויס אויף די Yggdrasil נעץ און לייגן עס צו דנס פון די מיטל נעץ