Отзывы на reformal.ru скорее мёртвы, чем живы
19 февраля была добавлена новость о сервисе отзывов и предложений от reformal.ru
https://blog.multi-vpn.biz/2019/02/s...tions-for.html
За всё прошедшее время, им никто не воспользовался.
Данный проект можно назвать несостоявшимся.
Домен удалён, скрипты вырезаны.
https://multi-vpn.biz
Добавленая поддержка IPv6 для сайта сервиса и алиасов
Теперь сайт сервиса и его алиасы доступны через IPv6.
Карта распространения IPv6:
https://6lab.cisco.com/stats/index.php
Статистика использования IPv6:
https://www.google.com/intl/en/ipv6/statistics.html
Идём в ногу со временем ;-)
https://multi-vpn.biz
Август джетпак-обновление: 4 новых сервера
В течении этого месяца добавлены 4 новых сервера для увеличения пропускной способности на самых нагруженных направлениях сервиса:
Нидерланды, Амстердам (NL1A)
Россия, Москва (RU1A)
Россия, Санкт-Петербург (RU2A)
Швеция, Стокгольм (SE1A)
Данные серверы уже работают в сети и доступны для подключения.
Пожалуйста, обновите файлы конфигурации что бы воспользоваться ими.
https://multi-vpn.biz
Эллиптическая кривая secp384r1 вместо secp256k1
Долгое время мы использовали кривую secp256k1 (как в сети Bitcoin) для подключения к OpenVPN серверу используя эллиптическую криптографию. И это хорошо работает.
Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-ECDSA-AES256-GCM-SHA384, 256 bit EC, curve: secp256k1
Однако, есть проблемы с совместимостью у некоторого программного обеспечения в связке OpenSSL и OpenVPN.
К сожалению secp256k1 поддерживается далеко не всеми OpenVPN клиентами по умолчанию.
Выход был найден в замене эллиптической кривой на secp384r1.
Данная кривая поставляется во многих продуктах: браузерах, подключении TLS, OpenSSL, LibreSSL и других.
Совместимость гораздо выше чем раньше, и самое главное - криптографическая стойкость - выше!
Как указано выше, в сравнительной таблице, 256 бит ECC является эквивалентом 3072 бит RSA ключа и AES 128 бит ключа симметричного шифрования.
Новая используемая кривая secp384r1 равняется 7680 бит ключу RSA. Что позволяет её использовать для шифрования документов с грифом "совершенно секретно".
Всем клиентам сервиса использующим эллиптическую криптографию, следует обновить файлы конфигурации.
Скачать их можно по ссылке (ECC):
https://multi-vpn.biz/files/ALL-OpenVPN.zip
В логе подключения OpenVPN, новая кривая выклядит так:
Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-ECDSA-AES256-GCM-SHA384, 384 bit EC, curve: secp384r1
https://multi-vpn.biz
Интеграция шаблона личного кабинета
Произведена замена шаблона личного кабинета. Теперь, личный кабинет пользователя более похож на основной дизайн сайта, чем ранее.
Дёшево, быстро, сердито. Заказать подобную услугу можно здесь:
https://whmcs.com.ua/products/integr...nguage=russian
Спасибо за проделанную работу. Радует глаз ;-)
https://multi-vpn.biz
Изменение принципа работы канарейки
Канарейка сервиса MultiVPN была запущена 22 ноября 2018 года.
Прочитать об этом событии можно здесь:
https://blog.multi-vpn.biz/2018/11/v...ti-vpnbiz.html
Подробнее прочитать о данном сервисе можно здесь:
https://ru.wikipedia.org/wiki/Свидетельство_канарейки
Сегодня, мы меняем принцип работы канарейки на более совершенный.
Ранее, необходимо было подписывать тестовый файл с актуальной информацией, GPG ключем, который есть только у администратора сервиса. В случае устаревания информации - канарейка умирала.
В обновленной версии канарейки, всё необходимое встроено в HTTP заголовок главного домена сервиса: multi-vpn.biz
Что бы исключить возможность подделки DNS запроса главного домена, мы используем подпись DNSSEC на наших серверах DNS и это затрудняет использование фейка канарейки и сайта в целом.
В whois запросе домена multi-vpn.biz это выглядит так:
DNSSEC: signedDelegation
Подробнее прочитать о DNSSEC можно здесь:
https://ru.wikipedia.org/wiki/DNSSEC
В продолжении темы защиты данных, мы используем TLS сертификаты, только от LetsEncrypt, остальным издателям TLS сертификатов, запрещено выпускать их, об этом свидетельствует DNS запись CA нашего домена:
policy host: multi-vpn.biz
iodef: mailto:admin@multi-vpn.biz flags:0
issue: letsencrypt.org flags:0
Подробнее почитать о DNS CA можно здесь:
https://habr.com/en/post/336738/
Поскольку, всегда находятся недобросовестные издатели, под давлением спецслужб или иных обстоятельств, могут быть выпущены поддельные TLS сертификаты для проведения атак человек по середине.
Что бы исключить и эту возможность, мы добавили технологию HSTS (
https://ru.wikipedia.org/wiki/HSTS) в паре с HPKP (
https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning) для принудительной привязки Вашего браузера к нашим ключам шифрования на стороне вебсервера.
Разумется, доступ к ключам шифрования указанным в HPKP есть только у администрации сервиса и вебсервер multi-vpn.biz работает с полнодисковым шифрованием файловой системы, для исключения возможности угона ключей хостинговой или иной службой.
К сожалению, некоторые разработчики нетрадиционной сексуальной ориентации, из крупных корпораций, которые занимаются массовой слежной в Интернете, под давлением секретных служб, удаляют поддержку данной технологии в своих браузерах:
https://news.rambler.ru/internet/416...dderzhka-hpkp/
Однако, на данный момент, абсолютно точно известно что поддержку технологии HPKP осуществляют браузеры Opera (
https://www.opera.com) и IceCat (
https://www.gnu.org/software/gnuzilla/), именно эти браузеры рекомендуем использовать для работы с нашим сервисом.
Всё это, организовано для того, что бы свести к минимуму возможность атаки человек посередине для наших клиентов.
Возвращаясь к теме канарейки. Теперь, данные для клиентов, сообщающие о текущем состоянии канарейки, будут передаваться в HTTP заголовках сервера на главном домене сервиса: multi-vpn.biz.
Как это выглядит:
Canary date=26.08.2019; linkone=https://www.youtube.com/watch?v=VJEggqbojCU; linktwo=https://www.youtube.com/watch?v=Z9wszOHYr3Q;
В данном HTTP заголовке с названием "Canary", передается несколько параметров:
date=26.08.2019; - дата обновления канарейки, в формате день.месяц.год.
В данном примере канарейка была обновлена 26 августа 2019 года.
Второй параметр заголовка:
linkone=https://www.youtube.com/watch?v=VJEggqbojCU;
это первая ссылка на видео YouTube выпущенное в примерно то-же время что и публиковалась канарейка.
Третий параметр заголовка:
linktwo=https://www.youtube.com/watch?v=Z9wszOHYr3Q;
запасная ссылка на видео YouTube, в случае недоступности первого видео.
Таким образом становится понятно, что дата публикации видео, должна примерно соответствовать времени публикации канарейки, а не просто содержать выдуманные даты публикации.
Если дата обновления канарейки превышает 1 календарный месяц, как в указанном примере выше, в конце сентября или даже в октябре, канарейка не была обновлена, это является признаком об оказании давления на администрацию сервиса со стороны силовых структур и других органов. Принуждение к сотрудничеству со следствием и т.д. Что должно послушить сигналом, для наших клиентов о том, что сервис может уже не быть таким, как прежде.
Информация для силовых структур: мы не собираемся выдавать информацию о наших клиентах.
В случае оказания какого либо давления на администрацию сервиса, большая вероятность того, что нужный человек для следствия, перестанет пользоваться нашим сервисом и все действия окажутся напрасны.
Цитата:
"Свидетельство канарейки" - способ передачи информации, осуществляемый через молчание или отрицание. Согласно "Патриотическому акту", правительство США может направить секретный ордер провайдеру на слежку за пользователем. Закон запрещает компании разглашать факт существования подобного ордера, однако компания может обойти этот запрет, не нарушив при этом закона: компания может уведомлять пользователя о том, что за ним в определённый момент не велось скрытого наблюдения — подобная фраза может быть указана в каком-либо отчёте компании пользователю. Если же компания получила ордер, такого уведомления в отчёте не будет."
Статья 23 конституции Российской Федерации:
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Как прочитать заголовок "Canary" в HTTP заголовке сервера?
https://www.ssllabs.com/ssltest/anal...hideResults=on (раздел HTTP Requests)
https://websniffer.cc
https://headers.cloxy.net
и другие подобные сервисы.
https://multi-vpn.biz
Добавлен новый VPN сервер в США, Чикаго (US3)
OpenVPN:
https://multi-vpn.biz/files/ALL-OpenVPN.zip
DoubleVPN:
https://multi-vpn.biz/files/US3-DoubleVPN.zip
Сервер доступен как одиночный для подключения и как входящий в двойном подключении.
Исходящее подключение в двойной цепи будет доступно позже.
https://multi-vpn.biz
Добавлен новый VPN сервер в США, Даллас (US4)
OpenVPN:
https://multi-vpn.biz/files/ALL-OpenVPN.zip
DoubleVPN:
https://multi-vpn.biz/files/US4-DoubleVPN.zip
Сервер доступен как одиночный для подключения и как входящий в двойном подключении.
Исходящее подключение в двойной цепи будет доступно позже.
https://multi-vpn.biz