Suite à la lecture d'un article de Ploum je découvre Gemini et je test de faire tourner un petit serveur, c'est hyper simple et rigolo.

Et je note qu'il n'y a pas besoin de ces fichus Autorités de Certification pour faire du TLS sans que ça affiche une erreur de confiance bidon \o/

gemini.circumlunar.space/

@codeurimpulsif Euh… Pour le 2nd §, j’ai un gros gros doute quand même… 🤔
C’est impossible que le navigateur ne hurle pas sans une CA valide quelque part dans la chaîne.

@aeris je t'assure qu'aucun navigateur Gemini sur les 5 que j'ai testé n'a crié avec mon certificat auto-généré.

Pour le soucis du TOFU c'est certes chiant à verifier mais perso j'ai du DNSSEC et je peux mettre le certificat dans un record TLSA, si tout est codé pour verifier ça côté navigateur (ce que les navigo web ne font toujours pas d'ailleurs --") ça peut être fun

@codeurimpulsif On parle bien de la version https de gemini ? Le certificat n’est pas auto-signé mais vient de Let's Encrypt.

@aeris non pas du https justement, je parle bien de TLS sur Gemini, d'afficher une page web servie par un serveur Gemini sur un navigateur Gemini

@codeurimpulsif @aeris TLS requiert une chaîne de confiance, avec donc des CA connues. Gemini sur TLS n'a aucune raison de différé sur ce point. Donc 2 possibilités:
- soit le client Gemini n'en a rien à foutre de la chaîne de confiance -> client poubelle
- soit l'autorité de certification est connue

@dfgweb @aeris à ma connaissance actuellement la seule condition est que le CN du certificat corresponde avec le nom de domaine utilisé mais ça pourra surement être améliorer par la suite, il ne faut pas oublier que c'est un protocole très jeune (~ 1 an me semble)

@aeris @dfgweb si ça t'amuse tu peux proposer des modifications aux différents clients, les spécificatiosn relative à TLS pour Gemini sont ici en section 4 : gemini.circumlunar.space/docs/ ça parle justement de TOFU

@codeurimpulsif @dfgweb
This greatly reduces TLS overhead on the network (only one cert needs to be sent, not a whole chain) and lowers the barrier to entry for setting up a Gemini site (no need to pay a CA or setup a Let's Encrypt cron job, just make a cert and go)

Des gens qui écrivent ça ne devraient juste pas avoir le droit de faire de la crypto… 😑

@aeris @dfgweb encore une fois : le protocole en est à ses débuts, c'est comme dire à des étudiants qui font un projet « c'est nul vous n'avez même pas mis en place tel et tel truc », oui c'est normal c'est tout neuf, y a peu de gens, c'est basiquement juste au stade de projet rigolo donc normal. Par contre il va être interessant de voir comment ça évolue, en bien ou pas …

@codeurimpulsif @dfgweb Totalement faux. Oui, un étudiant qui aujourd’hui implémente du TCP sans TLS ne mérite même pas la moyenne.

@codeurimpulsif @dfgweb Et là on ne parle pas d’étudiant, mais d’un véritable protocole à utiliser. Ne pas implémenter TLS proprement dès le départ ou avec des suppositions complètement erronées est juste très dangereux…

@aeris @dfgweb mince alors, moi dans mon projet de fin d'année j'ai mis du TLS mais sans CA, je méritais quoi du coup ? 5/20 car j'ai pas mis de chaine de certif ? 🤔

Combien de projets ont commencés comme ça et sont aujourd'hui utilisés malgré cela ?
Donc oui c'est actuellement mal fait mais rien ne dit que ça ne va pas bien évoluer, comme ça peut tout autant se casser la gueule bien sur …

@codeurimpulsif @dfgweb Quand tu vois les justifications données pour ne pas implémenter correctement TLS dès le départ, ça veut dire que les personnes derrière ça n’ont strictement aucune notion de sécurité.

@codeurimpulsif @dfgweb Et la sécurité, ça ne s’ajoute pas a posteriori. Cf SMTP ou même HTTPS. Quitte à repartir de 0, ça doit être l’élément n°1 d’un nouveau projet.

@codeurimpulsif @dfgweb Et il y a une grosse différence entre dire « je n’ai pas intégrer de CA actuellement mais j’ai conçu mon projet pour pouvoir le faire facilement derrière et j’en connais les limites que j’ai exposé dans mon rapport » et « je refais mon truc from scratch en m’asseyant sur l’intégralité des retours d’expérience de 50 ans de TLS et en le justifiant avec des arguments complètement faux montrant que je ne sais même pas de quoi je parle »

@aeris @codeurimpulsif @dfgweb Je pense que le TLS de Gemini est pensé comme SSH. Dans le sens ou, c’est à l’utilisateur de vérifier que le certificat est bien celui attendu. Mais la plus grande reproche qu’on peut faire c’est qu’il manque un moyen automatique de faire la vérification.

Le problème ce n’est pas de virer les CA c’est de ne pas proposer d’autre moyen de vérifier le certificat de manière simple, rapide et sécurisé.

Follow

@eragon Si la vérification n'est pas automatique, elle ne peut être fiable. J'en vois pas comment l'utilisateur peut vérifier le certificat lui-même. Le serveur "pinning" permettrait de s'affranchir de la chaîne de CA, mais c'est carrément pas l'idéal. @aeris @codeurimpulsif

@dfgweb @eragon @codeurimpulsif TOFU règle une partie du problème… Mais est clairement très limitant dans le cas de contenu « à haute valeur ». Type banque & cie.

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

Mamot.fr est une serveur Mastodon francophone, géré par La Quadrature du Net.