Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную безопасность или они защищают свою собственную?
- Edward Snowden
Yi Daijesti ti wa ni ti a ti pinnu lati mu awọn Community ká anfani ni oro ti ìpamọ, eyi ti, ninu ina ti di diẹ ti o yẹ ju lailai ṣaaju ki o to.
Lori eto:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
Ṣe iranti mi - kini “Alabọde”?
alabọde (ẹlẹgbẹ. alabọde - “agbedemeji”, koko-ọrọ atilẹba - Maṣe beere fun asiri rẹ. Gba pada; tun ni English ọrọ alabọde tumo si “agbedemeji”) – Olupese Ayelujara ti o jẹ ipinya ni Ilu Rọsia ti n pese awọn iṣẹ iraye si nẹtiwọọki free ti idiyele.
Orukọ ni kikun: Alabọde Olupese Iṣẹ Ayelujara. Ni ibẹrẹ ise agbese ti a loyun bi в .
Ti a ṣẹda ni Oṣu Kẹrin ọdun 2019 gẹgẹbi apakan ti ẹda ti agbegbe awọn ibaraẹnisọrọ ominira nipa fifun awọn olumulo ipari pẹlu iraye si awọn orisun nẹtiwọọki Yggdrasil nipasẹ lilo imọ-ẹrọ gbigbe data alailowaya Wi-Fi.
Больше информации по теме:
Энтузиасты сообщества децентрализованного интернет-провайдера «Medium» создают собственный поисковой движок
Изначально в сети , которую децентрализованный интернет-провайдер «Medium» использует в качестве транспорта, не было ни своего DNS-сервера, ни инфраструктуры открытых ключей — однако потребность в выпуске сертификатов безопасности для сервисов сети «Medium» решила эти две проблемы.
Зачем нужен PKI, если Yggdrasil «из коробки» предоставляет возможность шифрования трафика между пирами?Ko si iwulo lati lo HTTPS lati sopọ si awọn iṣẹ wẹẹbu lori nẹtiwọọki Yggdrasil ti o ba sopọ mọ wọn nipasẹ olulana nẹtiwọki Yggdrasil ti agbegbe ti nṣiṣẹ.
Nitootọ: Irin-ajo Yggdrasil wa ni deede gba ọ laaye lati lo awọn orisun lailewu laarin nẹtiwọki Yggdrasil - agbara lati ṣe patapata rara.
Ipo naa yipada ni ipilẹṣẹ ti o ba wọle si awọn orisun intranet ti Yggdarsil kii ṣe taara, ṣugbọn nipasẹ oju-ọna agbedemeji - aaye wiwọle nẹtiwọọki Alabọde, eyiti o nṣakoso nipasẹ oniṣẹ rẹ.
Ni ọran yii, tani le ba data ti o tan kaakiri:
- Oṣiṣẹ aaye wiwọle. O han gbangba pe oniṣẹ lọwọlọwọ ti aaye iraye si nẹtiwọọki Alabọde le tẹtisi ijabọ ti a ko pa akoonu ti o kọja nipasẹ ohun elo rẹ.
- onijagidijagan (). Alabọde ni iṣoro iru si , nikan ni ibatan si titẹ sii ati awọn apa agbedemeji.
Eyi ni ohun ti o dabi
Ipinnu: lati wọle si awọn iṣẹ wẹẹbu laarin nẹtiwọki Yggdrasil, lo ilana HTTPS (ipele 7 ). Iṣoro naa ni pe ko ṣee ṣe lati fun iwe-ẹri aabo tootọ fun awọn iṣẹ nẹtiwọọki Yggdrasil nipasẹ awọn ọna aṣa bii .
Nitorinaa, a ṣeto ile-iṣẹ ijẹrisi tiwa - . Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».
O ṣeeṣe lati ba iwe-ẹri root ti aṣẹ iwe-ẹri jẹ, nitorinaa, ṣe akiyesi - ṣugbọn nibi ijẹrisi jẹ pataki diẹ sii lati jẹrisi iduroṣinṣin ti gbigbe data ati imukuro iṣeeṣe ti awọn ikọlu MITM.
Awọn iṣẹ nẹtiwọọki alabọde lati ọdọ awọn oniṣẹ oriṣiriṣi ni awọn iwe-ẹri aabo oriṣiriṣi, ọna kan tabi omiiran fowo si nipasẹ aṣẹ ijẹrisi root. Bibẹẹkọ, awọn oniṣẹ ẹrọ Gbongbo CA ko ni anfani lati tẹtisi ijabọ fifi ẹnọ kọ nkan lati awọn iṣẹ ti wọn ti fowo si awọn iwe-ẹri aabo (wo ).
Awọn ti o ni aniyan paapaa nipa aabo wọn le lo iru awọn ọna bii aabo afikun, gẹgẹbi и .
Lọwọlọwọ, awọn amayederun bọtini gbangba ti nẹtiwọọki Alabọde ni agbara lati ṣayẹwo ipo ijẹrisi nipa lilo ilana naa tabi nipasẹ lilo .
Gba si ojuami
Aago начал разработку поискового движка для веб-сервисов, расположенных в сети Yggdrasil. Важным аспектом является тот факт, что определение IPv6-адресов сервисов при произведении поиска осуществляется путём направления запроса на DNS-сервер, расположенный внутри сети «Medium».
Основным TLD является .ygg. Большинство доменных имён обладают этим TLD, за исключением двух: .isp и .gg.
Поисковой движок находится в стадии разработки, но его использование уже возможно сегодня — достаточно посетить веб-сайт .
Вы можете помочь развитию проекта, .
«Medium» учредил новый удостоверяющий центр «Medium Global Root CA». Кого затронут изменения?
Вчера завершилось публичное тестирование функционала удостоверяющего центра «Medium Root CA». По окончании тестирования были исправлены ошибки в работе сервисов инфраструктуры открытых ключей и было произведено создание нового корневого сертификата удостоверяющего центра «Medium Global Root CA».
Были учтены все нюансы и особенности PKI — теперь новый сертификат УЦ «Medium Global Root CA» будет выпущен только спустя десять лет (по истечении его срока действия). Теперь сертификаты безопасности выдаются только промежуточными сертификационными центрами — например, «Medium Domain Validation Secure Server CA».
Как теперь выглядит цепочка доверия сертификатов?
Что необходимо сделать, чтобы всё заработало, если вы — пользователь:
Так как некоторые сервисы используют HSTS, перед началом использования ресурсов сети «Medium» необходимо удалить данные внутрисетевых ресурсов «Medium». Сделать это можно на вкладке «История» вашего браузера.
O tun jẹ dandan удостоверяющего центра «Medium Global Root CA».
Что необходимо сделать, чтобы всё заработало, если вы — системный оператор:
Вам необходимо перевыпустить сертификат для вашего сервиса на странице (сервис доступен только в сети «Medium»).
Сертификаты безопасности в каждый дом — как создать свой сервис в сети Yggdrasil и выпустить для него валидный SSL-сертификат
В связи с ростом количества внутрисетевых сервисов сети «Medium» возросла потребность в выпуске новых сертификатов безопасности и настройка своих сервисов таким образом, чтобы они поддерживали SSL.
Так как Хабр является техническим ресурсом, в каждом новом дайджесте один из пунктов повестки будет раскрывать технические особенности инфраструктуры сети «Medium». Например, ниже представлена исчерпывающая инструкция по выпуску SSL-сертификата для своего сервиса.
В примерах будет указываться доменное имя domain.ygg, которое необходимо заменить на доменное имя вашего сервиса.
Igbese 1. Сгенерируйте приватный ключ и параметры Диффи-Хеллмана
openssl genrsa -out domain.ygg.key 2048Nigbana ni:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Igbese 2. Создайте запрос на подпись сертификата
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.confAwọn akoonu faili domain.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Igbese 3. Отправьте запрос на получение сертификата
Для этого скопируйте содержимое файла domain.ygg.csr и вставьте его в текстовое поле на сайте .
Следуйте инструкциям, указанным на сайте, затем нажмите «Отправить». На указанный вами адрес электронной почты в случае успеха придёт сообщение, содержащее в себе вложение в виде подписанного промежуточным удостоверяющим центром сертификата.
Igbese 4. Настройте ваш веб-сервер
Если вы используете nginx в качестве веб-сервера, используйте следующую конфигурацию:
Ọna domain.ygg.conf ninu liana /etc/nginx/sites-available/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
Ọna ssl-params.conf ninu liana /etc/nginx/snippets/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
Ọna domain.ygg.conf ninu liana /etc/nginx/snippets/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
Сертификат, полученный вами по электронной почте, необходимо скопировать по адресу /etc/ssl/certs/domain.ygg.crt. Приватный ключ (domain.ygg.key) поместите в директорию /etc/ssl/private/.
Igbese 5. Перезапустите ваш веб-сервер
sudo service nginx restartIntanẹẹti ọfẹ ni Russia bẹrẹ pẹlu rẹ
O le pese gbogbo iranlọwọ ti o ṣeeṣe si idasile Intanẹẹti ọfẹ ni Russia loni. A ti ṣe akojọpọ akojọpọ pipe ti bii o ṣe le ṣe iranlọwọ fun nẹtiwọọki naa:
- Sọ fun awọn ọrẹ ati awọn ẹlẹgbẹ rẹ nipa nẹtiwọki Alabọde. Pinpin si nkan yii lori awọn nẹtiwọọki awujọ tabi bulọọgi ti ara ẹni
- Kopa ninu ijiroro ti awọn ọran imọ-ẹrọ lori nẹtiwọọki Alabọde
- Ṣẹda iṣẹ wẹẹbu rẹ lori nẹtiwọki Yggdrasil ki o ṣafikun si
- Gbe tirẹ ga si nẹtiwọki Alabọde
Awọn idasilẹ ti tẹlẹ:
Ka tun:
A wa lori Telegram:
Awọn olumulo ti o forukọsilẹ nikan le kopa ninu iwadi naa. , Jowo.
Idibo yiyan: o ṣe pataki fun wa lati mọ ero ti awọn ti ko ni akọọlẹ kikun lori Habré
-
↑
-
↓
7 olumulo dibo. 2 olumulo abstained.
orisun: www.habr.com