我們經常聽到「國家安全」這個詞,但是當政府開始監控我們的通訊,在沒有可信懷疑、沒有法律依據、沒有任何明顯目的的情況下記錄我們的通訊時,我們必須問自己一個問題:他們真的是在保護國家安全嗎?他們保護自己嗎?
- 愛德華·斯諾登
本摘要旨在提高社區對隱私問題的興趣,鑑於 變得比以往任何時候都更加相關。
議程上:
來自去中心化網路供應商「Medium」社群的愛好者正在創建自己的搜尋引擎
Medium 建立了一個新的認證機構-Medium Global Root CA。誰會受到這些變化的影響?
每個家庭的安全憑證 - 如何在 Yggdrasil 網路上建立您自己的服務並為其頒發有效的 SSL 憑證
提醒我 - 什麼是「中」?
Medium (英語 Medium -“中介”,原口號- 不要要求你的隱私。 把它收回; 英文中也有這個詞 中等 意思是「中間」) - 一家提供網路存取服務的俄羅斯去中心化網路供應商 免費。
全名:中型網路服務供應商。 最初該項目的構想是 в .
成立於 2019 年 XNUMX 月,作為創建獨立電信環境的一部分,透過使用 Wi-Fi 無線資料傳輸技術為最終用戶提供對 Yggdrasil 網路資源的存取。
有關該主題的更多信息:
來自去中心化網路供應商「Medium」社群的愛好者正在創建自己的搜尋引擎
原來在線 去中心化網路服務供應商Medium用作傳輸,沒有自己的DNS伺服器或公鑰基礎設施——但是,為Medium網路服務頒發安全證書的需要解決了這兩個問題。
如果 Yggdrasil 開箱即用地提供了對等點之間的流量進行加密的能力,為什麼還需要 PKI?如果您透過本機執行的 Yggdrasil 網路路由器連線至 Yggdrasil 網路上的 Web 服務,則無需使用 HTTPS 連線至這些服務。
確實:Yggdrasil 的交通是同等的 讓您安全地使用 Yggdrasil 網路內的資源 - 能夠進行 完全排除。
如果您不是直接存取 Yggdarsil 的內部網路資源,而是透過中間節點 - 由其營運商管理的中型網路存取點,情況就會發生根本性的變化。
在這種情況下,誰可以危害您傳輸的資料:
- 存取點營運商。 顯然,中型網路接入點的當前運營商可以竊聽通過其設備的未加密流量。
- 入侵者 ()。 Medium 有類似的問題 ,僅與輸入節點和中間節點有關。
這就是它的樣子
解決方法:若要存取 Yggdrasil 網路內的 Web 服務,請使用 HTTPS 協定(等級 7 )。 問題在於,無法透過常規手段為Yggdrasil網路服務頒發真正的安全證書,例如 .
因此,我們建立了自己的認證中心— 。 Medium 網路中的絕大多數服務均由中級憑證授權單位 Medium Domain Validation Secure Server CA 的根安全性憑證進行簽署。
當然,也考慮到了憑證授權單位的根憑證被破壞的可能性 - 但這裡更需要憑證來確認資料傳輸的完整性並消除 MITM 攻擊的可能性。
來自不同營運商的中型網路服務具有不同的安全證書,由根證書頒發機構以某種方式簽署。 但是,根 CA 運營商無法竊聽來自他們已簽署安全性憑證的服務的加密流量(請參閱 ).
特別關心自身安全的人可以使用此類手段作為額外保護,例如 и .
目前,中型網路的公鑰基礎設施能夠使用該協定檢查憑證的狀態 或透過使用 .
進入正題
用戶 開始為 Yggdrasil 網路上的網路服務開發搜尋引擎。一個重要的方面是,在執行搜尋時確定服務的 IPv6 位址是透過向位於中型網路內部的 DNS 伺服器發送請求來進行的。
主要頂級域名 (TLD) 是 .ygg。大多數網域都有此 TLD,但有兩個例外: .isp и .gg.
搜尋引擎正在開發中,但今天已經可以使用 - 只需訪問該網站 .
您可以幫助專案的發展, .
Medium 建立了一個新的認證機構-Medium Global Root CA。誰會受到這些變化的影響?
昨天,Medium Root CA認證中心的功能公開測試完成。測試結束時,修正了公鑰基礎設施服務運作中的錯誤,並建立了憑證授權單位「Medium Global Root CA」的新根憑證。
PKI 的所有細微差別和特徵都已考慮在內 - 現在新的 CA 憑證「Medium Global Root CA」將在十年後(到期後)頒發。現在,安全性憑證僅由中間憑證授權單位核發 - 例如「中網域驗證安全伺服器 CA」。
憑證信任鏈現在是什麼樣子的?
如果您是用戶,需要做什麼才能使一切正常運作:
由於部分業務使用HSTS,在使用Medium網路資源之前,必須先刪除Medium內網資源中的資料。您可以在瀏覽器的「歷史記錄」標籤中執行此操作。
也是有必要的 認證中心「Medium Global Root CA」。
如果您是系統操作員,需要做什麼才能使一切正常運作:
您需要在頁面重新簽發您的服務證書 (此服務僅在中型網路上提供)。
每個家庭的安全憑證 - 如何在 Yggdrasil 網路上建立您自己的服務並為其頒發有效的 SSL 憑證
由於中型網路上的 Intranet 服務數量的成長,頒發新的安全憑證並配置其服務以支援 SSL 的需求也隨之增加。
由於 Habr 是一種技術資源,因此在每個新摘要中,其中一個議程項目將揭示中型網路基礎設施的技術特徵。例如,以下是為您的服務頒發 SSL 憑證的綜合說明。
範例將指明域名 網域.ygg,必須替換為您的服務的網域。
步驟1。 產生私鑰和 Diffie-Hellman 參數
openssl genrsa -out domain.ygg.key 2048則:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048步驟2。 建立憑證簽署請求
openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.conf文件內容 網域.ygg.conf:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
步驟3。 提交證書請求
為此,請複製文件的內容 網域.ygg.csr 並將其貼到網站上的文字欄位中 .
請按照網站上提供的說明進行操作,然後按一下「提交」。如果成功,一則訊息將發送到您指定的電子郵件地址,其中包含由中間憑證授權單位簽署的憑證形式的附件。
步驟4。 設定您的網頁伺服器
如果您使用 nginx 作為 Web 伺服器,請使用下列設定:
文件 網域.ygg.conf 在目錄中 /etc/nginx/可用站點/
server {
listen [::]:80;
listen [::]:443 ssl;
root /var/www/domain.ygg;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.ygg;
include snippets/domain.ygg.conf;
include snippets/ssl-params.conf;
location = /favicon.ico { log_not_found off; access_log off; }
location = /robots.txt { log_not_found off; access_log off; allow all; }
location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
expires max;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
文件 ssl-params.conf 在目錄中 /etc/nginx/片段/
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
文件 網域.ygg.conf 在目錄中 /etc/nginx/片段/
ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;
您透過電子郵件收到的憑證必須複製到: /etc/ssl/certs/domain.ygg.crt。私鑰(網域.ygg.key)將其放入目錄中 /etc/ssl/私人/.
步驟5。 重新啟動您的網頁伺服器
sudo service nginx restart俄羅斯的免費網路從您開始
今天,您可以為在俄羅斯建立免費網路提供一切可能的幫助。 我們編制了一份全面的列表,詳細說明了您可以如何幫助網絡:
- 向您的朋友和同事介紹 Medium 網路。 分享 到社群網路或個人部落格上的這篇文章
- 參與Medium網路上技術問題的討論
- 在 Yggdrasil 網路上建立您的 Web 服務並將其新增至
- 提高你的 到媒體網絡
以前的版本:
另請參閱:
我們在電報上:
只有註冊用戶才能參與調查。 , 請。
另類投票:了解那些對哈布雷沒有完整了解的人的意見對我們來說很重要
-
↑
-
↓
7 位用戶投票。 2 名用戶棄權。
來源: www.habr.com