我们经常听到“国家安全”这个词,但是当政府开始监控我们的通讯,在没有可信怀疑、没有法律依据、没有任何明显目的的情况下记录我们的通讯时,我们必须问自己一个问题:他们真的是在保护国家安全吗?他们保护自己吗?
- 爱德华·斯诺登
本摘要旨在提高社区对隐私问题的兴趣,鉴于 变得比以往任何时候都更加相关。
议程上:
来自去中心化互联网提供商“Medium”社区的爱好者正在创建自己的搜索引擎
Medium 建立了一个新的认证机构——Medium Global Root CA。 谁会受到这些变化的影响?
每个家庭的安全证书 - 如何在 Yggdrasil 网络上创建您自己的服务并为其颁发有效的 SSL 证书
提醒我 - 什么是“中”?
中 (英语 中 -“中介”,原创口号- 不要要求你的隐私。 把它收回; 英语中也有这个词 中等 意思是“中间”) - 一家提供网络访问服务的俄罗斯去中心化互联网提供商 免费。
全称:中型互联网服务提供商。 最初该项目的构想是 в .
成立于 2019 年 XNUMX 月,作为创建独立电信环境的一部分,通过使用 Wi-Fi 无线数据传输技术为最终用户提供对 Yggdrasil 网络资源的访问。
有关该主题的更多信息:
来自去中心化互联网提供商“Medium”社区的爱好者正在创建自己的搜索引擎
原来在线 去中心化互联网服务提供商Medium用作传输,没有自己的DNS服务器或公钥基础设施——但是,为Medium网络服务颁发安全证书的需要解决了这两个问题。
如果 Yggdrasil 开箱即用地提供了对对等点之间的流量进行加密的能力,为什么还需要 PKI?如果您通过本地运行的 Yggdrasil 网络路由器连接到 Yggdrasil 网络上的 Web 服务,则无需使用 HTTPS 连接到这些服务。
确实:Yggdrasil 的交通是同等的 允许您安全地使用 Yggdrasil 网络内的资源 - 能够进行 完全排除。
如果您不是直接访问 Yggdarsil 的内网资源,而是通过中间节点 - 由其运营商管理的中型网络接入点,情况就会发生根本性的变化。
在这种情况下,谁可以危害您传输的数据:
- 接入点运营商。 显然,中型网络接入点的当前运营商可以窃听通过其设备的未加密流量。
- 入侵者 ()。 Medium 有类似的问题 ,仅与输入节点和中间节点有关。
这就是它的样子
解:要访问 Yggdrasil 网络内的 Web 服务,请使用 HTTPS 协议(级别 7 )。 问题在于,无法通过常规手段为Yggdrasil网络服务颁发真正的安全证书,例如 .
因此,我们建立了自己的认证中心—— 。 Medium 网络中的绝大多数服务均由中级证书颁发机构 Medium Domain Validation Secure Server CA 的根安全证书进行签名。
当然,也考虑到了证书颁发机构的根证书被破坏的可能性 - 但这里更需要证书来确认数据传输的完整性并消除 MITM 攻击的可能性。
来自不同运营商的中型网络服务具有不同的安全证书,由根证书颁发机构以某种方式签署。 但是,根 CA 运营商无法窃听来自他们已签署安全证书的服务的加密流量(请参阅 ).
特别关心自身安全的人可以使用此类手段作为额外保护,例如 и .
目前,中型网络的公钥基础设施能够使用该协议检查证书的状态 或通过使用 .
切入正题
用户 开始为 Yggdrasil 网络上的网络服务开发搜索引擎。 一个重要的方面是,在执行搜索时确定服务的 IPv6 地址是通过向位于中型网络内部的 DNS 服务器发送请求来进行的。
主要顶级域名 (TLD) 是 .ygg。 大多数域名都有此 TLD,但有两个例外: .isp и .gg.
搜索引擎正在开发中,但今天已经可以使用 - 只需访问该网站 .
您可以帮助项目的发展, .
Medium 建立了一个新的认证机构——Medium Global Root CA。 谁会受到这些变化的影响?
昨天,Medium Root CA认证中心的功能公开测试完成。 测试结束时,纠正了公钥基础设施服务运行中的错误,并创建了证书颁发机构“Medium Global Root CA”的新根证书。
PKI 的所有细微差别和特征均已考虑在内 - 现在新的 CA 证书“Medium Global Root CA”将在十年后(到期后)颁发。 现在,安全证书仅由中间证书颁发机构颁发 - 例如“中域验证安全服务器 CA”。
证书信任链现在是什么样子的?
如果您是用户,需要做什么才能使一切正常工作:
由于部分业务使用HSTS,在使用Medium网络资源之前,必须先删除Medium内网资源中的数据。 您可以在浏览器的“历史记录”选项卡中执行此操作。
也是必须的 认证中心“Medium Global Root CA”。
如果您是系统操作员,需要做什么才能使一切正常运行:
您需要在页面重新签发您的服务证书 (该服务仅在中型网络上可用)。
每个家庭的安全证书 - 如何在 Yggdrasil 网络上创建您自己的服务并为其颁发有效的 SSL 证书
由于中型网络上的 Intranet 服务数量的增长,颁发新的安全证书并配置其服务以支持 SSL 的需求也随之增加。
由于 Habr 是一种技术资源,因此在每个新摘要中,其中一个议程项目将揭示中型网络基础设施的技术特征。 例如,以下是为您的服务颁发 SSL 证书的综合说明。
示例将指明域名 域名.ygg,必须替换为您的服务的域名。
步骤1。 生成私钥和 Diffie-Hellman 参数
openssl genrsa -out domain.ygg.key 2048然后:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048步骤2。 创建证书签名请求
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.conf文件内容 域名.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
步骤3。 提交证书请求
为此,请复制文件的内容 域名.ygg.csr 并将其粘贴到网站上的文本字段中 .
按照网站上提供的说明进行操作,然后单击“提交”。 如果成功,一条消息将发送到您指定的电子邮件地址,其中包含由中间证书颁发机构签名的证书形式的附件。
步骤4。 设置您的网络服务器
如果您使用 nginx 作为 Web 服务器,请使用以下配置:
文件 域名.ygg.conf 在目录中 /etc/nginx/可用站点/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
文件 ssl-params.conf 在目录中 /etc/nginx/片段/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
文件 域名.ygg.conf 在目录中 /etc/nginx/片段/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
您通过电子邮件收到的证书必须复制到: /etc/ssl/certs/domain.ygg.crt。 私钥(域名.ygg.key)将其放入目录中 /etc/ssl/私人/.
步骤5。 重新启动您的网络服务器
sudo service nginx restart俄罗斯的免费互联网从您开始
今天,您可以为在俄罗斯建立免费互联网提供一切可能的帮助。 我们编制了一份全面的列表,详细说明了您可以如何帮助网络:
- 向您的朋友和同事介绍 Medium 网络。 分享 到社交网络或个人博客上的这篇文章
- 参与Medium网络上技术问题的讨论
- 在 Yggdrasil 网络上创建您的 Web 服务并将其添加到
- 提高你的 到媒体网络
以前的版本:
另请参阅:
我们在电报上:
只有注册用户才能参与调查。 拜托
另类投票:了解那些对哈布雷没有完整了解的人的意见对我们来说很重要
-
↑
-
↓
7 位用户投票。 2 名用户弃权。
来源: habr.com