Suite à la lecture d'un article de Ploum je découvre Gemini et je test de faire tourner un petit serveur, c'est hyper simple et rigolo.

Et je note qu'il n'y a pas besoin de ces fichus Autorités de Certification pour faire du TLS sans que ça affiche une erreur de confiance bidon \o/

gemini.circumlunar.space/

@codeurimpulsif Euh… Pour le 2nd §, j’ai un gros gros doute quand même… 🤔
C’est impossible que le navigateur ne hurle pas sans une CA valide quelque part dans la chaîne.

@aeris je t'assure qu'aucun navigateur Gemini sur les 5 que j'ai testé n'a crié avec mon certificat auto-généré.

Pour le soucis du TOFU c'est certes chiant à verifier mais perso j'ai du DNSSEC et je peux mettre le certificat dans un record TLSA, si tout est codé pour verifier ça côté navigateur (ce que les navigo web ne font toujours pas d'ailleurs --") ça peut être fun

@codeurimpulsif On parle bien de la version https de gemini ? Le certificat n’est pas auto-signé mais vient de Let's Encrypt.

@aeris non pas du https justement, je parle bien de TLS sur Gemini, d'afficher une page web servie par un serveur Gemini sur un navigateur Gemini

@codeurimpulsif @aeris TLS requiert une chaîne de confiance, avec donc des CA connues. Gemini sur TLS n'a aucune raison de différé sur ce point. Donc 2 possibilités:
- soit le client Gemini n'en a rien à foutre de la chaîne de confiance -> client poubelle
- soit l'autorité de certification est connue

@dfgweb @aeris à ma connaissance actuellement la seule condition est que le CN du certificat corresponde avec le nom de domaine utilisé mais ça pourra surement être améliorer par la suite, il ne faut pas oublier que c'est un protocole très jeune (~ 1 an me semble)

@aeris @dfgweb si ça t'amuse tu peux proposer des modifications aux différents clients, les spécificatiosn relative à TLS pour Gemini sont ici en section 4 : gemini.circumlunar.space/docs/ ça parle justement de TOFU

@codeurimpulsif @dfgweb
This greatly reduces TLS overhead on the network (only one cert needs to be sent, not a whole chain) and lowers the barrier to entry for setting up a Gemini site (no need to pay a CA or setup a Let's Encrypt cron job, just make a cert and go)

Des gens qui écrivent ça ne devraient juste pas avoir le droit de faire de la crypto… 😑

@aeris @dfgweb encore une fois : le protocole en est à ses débuts, c'est comme dire à des étudiants qui font un projet « c'est nul vous n'avez même pas mis en place tel et tel truc », oui c'est normal c'est tout neuf, y a peu de gens, c'est basiquement juste au stade de projet rigolo donc normal. Par contre il va être interessant de voir comment ça évolue, en bien ou pas …

@codeurimpulsif @dfgweb Totalement faux. Oui, un étudiant qui aujourd’hui implémente du TCP sans TLS ne mérite même pas la moyenne.

@codeurimpulsif @dfgweb Et là on ne parle pas d’étudiant, mais d’un véritable protocole à utiliser. Ne pas implémenter TLS proprement dès le départ ou avec des suppositions complètement erronées est juste très dangereux…

@aeris @dfgweb mince alors, moi dans mon projet de fin d'année j'ai mis du TLS mais sans CA, je méritais quoi du coup ? 5/20 car j'ai pas mis de chaine de certif ? 🤔

Combien de projets ont commencés comme ça et sont aujourd'hui utilisés malgré cela ?
Donc oui c'est actuellement mal fait mais rien ne dit que ça ne va pas bien évoluer, comme ça peut tout autant se casser la gueule bien sur …

Follow

@codeurimpulsif Ça dépend qui communique avec qui. Sinon, un certificat client, du serveur pinning, le client partage la même CA, il y a des alternatives à la chaîne de CA classique si l'environnement est maîtrisé. @aeris

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

Mamot.fr est une serveur Mastodon francophone, géré par La Quadrature du Net.