Suite à la lecture d'un article de Ploum je découvre Gemini et je test de faire tourner un petit serveur, c'est hyper simple et rigolo.

Et je note qu'il n'y a pas besoin de ces fichus Autorités de Certification pour faire du TLS sans que ça affiche une erreur de confiance bidon \o/

gemini.circumlunar.space/

@codeurimpulsif Euh
 Pour le 2nd §, j’ai un gros gros doute quand mĂȘme
 đŸ€”
C’est impossible que le navigateur ne hurle pas sans une CA valide quelque part dans la chaüne.

@aeris je t'assure qu'aucun navigateur Gemini sur les 5 que j'ai testé n'a crié avec mon certificat auto-généré.

Pour le soucis du TOFU c'est certes chiant Ă  verifier mais perso j'ai du DNSSEC et je peux mettre le certificat dans un record TLSA, si tout est codĂ© pour verifier ça cĂŽtĂ© navigateur (ce que les navigo web ne font toujours pas d'ailleurs --") ça peut ĂȘtre fun

@codeurimpulsif On parle bien de la version https de gemini ? Le certificat n’est pas auto-signĂ© mais vient de Let's Encrypt.

Follow

@codeurimpulsif Ou alors je ne comprend pas de quoi tu parles. đŸ€·

· · 2 · 0 · 0

@aeris non pas du https justement, je parle bien de TLS sur Gemini, d'afficher une page web servie par un serveur Gemini sur un navigateur Gemini

@codeurimpulsif @aeris TLS requiert une chaßne de confiance, avec donc des CA connues. Gemini sur TLS n'a aucune raison de différé sur ce point. Donc 2 possibilités:
- soit le client Gemini n'en a rien Ă  foutre de la chaĂźne de confiance -> client poubelle
- soit l'autorité de certification est connue

@dfgweb @aeris Ă  ma connaissance actuellement la seule condition est que le CN du certificat corresponde avec le nom de domaine utilisĂ© mais ça pourra surement ĂȘtre amĂ©liorer par la suite, il ne faut pas oublier que c'est un protocole trĂšs jeune (~ 1 an me semble)

@aeris @dfgweb si ça t'amuse tu peux proposer des modifications aux différents clients, les spécificatiosn relative à TLS pour Gemini sont ici en section 4 : gemini.circumlunar.space/docs/ ça parle justement de TOFU

@codeurimpulsif @dfgweb
This greatly reduces TLS overhead on the network (only one cert needs to be sent, not a whole chain) and lowers the barrier to entry for setting up a Gemini site (no need to pay a CA or setup a Let's Encrypt cron job, just make a cert and go)

Des gens qui Ă©crivent ça ne devraient juste pas avoir le droit de faire de la crypto
 😑

@codeurimpulsif @dfgweb
1- TLS n’a jamais imposĂ© de transmettre toute la chaĂźne. Sans certificat intermĂ©diaire, le certificat final suffit. Mais on a **besoin** de certificats intermĂ©diaire pour des problĂšmes de sĂ©curitĂ© (la clef de la CA racine ne devant jamais ĂȘtre manipulĂ©e)

@codeurimpulsif @dfgweb
2- Payer pour une CA n’a jamais Ă©tĂ© une obligation non plus (CACert & cie) et le renouvellement Ă  90j de LE vient aussi de contrainte opĂ©rationnelle de sĂ©curitĂ© sur TLS.

@codeurimpulsif @dfgweb Et c’est d’autant plus WTF que les gens de gemini repartent d’un navigateur from scratch donc pouvaient parfaitement intĂ©grer un client ACME automatique dĂšs la crĂ©ation
 😑

@codeurimpulsif @dfgweb HonnĂȘtement fuyez
 Ces gens ne savent absolument pas de quoi ils parlent et n’ont absolument aucune idĂ©e de ce qu’ils font
 😑

@aeris @dfgweb encore une fois : le protocole en est Ă  ses dĂ©buts, c'est comme dire Ă  des Ă©tudiants qui font un projet « c'est nul vous n'avez mĂȘme pas mis en place tel et tel truc », oui c'est normal c'est tout neuf, y a peu de gens, c'est basiquement juste au stade de projet rigolo donc normal. Par contre il va ĂȘtre interessant de voir comment ça Ă©volue, en bien ou pas 


@codeurimpulsif @dfgweb Totalement faux. Oui, un Ă©tudiant qui aujourd’hui implĂ©mente du TCP sans TLS ne mĂ©rite mĂȘme pas la moyenne.

@codeurimpulsif @dfgweb Et lĂ  on ne parle pas d’étudiant, mais d’un vĂ©ritable protocole Ă  utiliser. Ne pas implĂ©menter TLS proprement dĂšs le dĂ©part ou avec des suppositions complĂštement erronĂ©es est juste trĂšs dangereux


@aeris @dfgweb mince alors, moi dans mon projet de fin d'annĂ©e j'ai mis du TLS mais sans CA, je mĂ©ritais quoi du coup ? 5/20 car j'ai pas mis de chaine de certif ? đŸ€”

Combien de projets ont commencés comme ça et sont aujourd'hui utilisés malgré cela ?
Donc oui c'est actuellement mal fait mais rien ne dit que ça ne va pas bien Ă©voluer, comme ça peut tout autant se casser la gueule bien sur 


@codeurimpulsif @dfgweb Quand tu vois les justifications donnĂ©es pour ne pas implĂ©menter correctement TLS dĂšs le dĂ©part, ça veut dire que les personnes derriĂšre ça n’ont strictement aucune notion de sĂ©curitĂ©.

@codeurimpulsif @dfgweb Et la sĂ©curitĂ©, ça ne s’ajoute pas a posteriori. Cf SMTP ou mĂȘme HTTPS. Quitte Ă  repartir de 0, ça doit ĂȘtre l’élĂ©ment n°1 d’un nouveau projet.

@codeurimpulsif @dfgweb Et il y a une grosse diffĂ©rence entre dire « je n’ai pas intĂ©grer de CA actuellement mais j’ai conçu mon projet pour pouvoir le faire facilement derriĂšre et j’en connais les limites que j’ai exposĂ© dans mon rapport » et « je refais mon truc from scratch en m’asseyant sur l’intĂ©gralitĂ© des retours d’expĂ©rience de 50 ans de TLS et en le justifiant avec des arguments complĂštement faux montrant que je ne sais mĂȘme pas de quoi je parle »

@aeris @dfgweb ils en sont encore à faire des specs pour les formats de fichiers donc bon 
 et en l'occurrence le sujet est discuté sur la mailing list qui existe depuis à peine un an, tu peux en discuter avec eux si tu le souhaite, il y aura surement des discussions et propositions interessantes qui en ressortirons

@codeurimpulsif @dfgweb J’ai assez peu de temps Ă  dispo pour aller expliquer 32 ans de retour d’expĂ©rience autour de X.509 et 22 ans de SSL/TLS Ă  des gens qui n’ont manifestement mĂȘme pas la base de ces 2 trucs
 😑

@aeris @codeurimpulsif @dfgweb Je pense que le TLS de Gemini est pensĂ© comme SSH. Dans le sens ou, c’est Ă  l’utilisateur de vĂ©rifier que le certificat est bien celui attendu. Mais la plus grande reproche qu’on peut faire c’est qu’il manque un moyen automatique de faire la vĂ©rification.

Le problĂšme ce n’est pas de virer les CA c’est de ne pas proposer d’autre moyen de vĂ©rifier le certificat de maniĂšre simple, rapide et sĂ©curisĂ©.

@eragon Si la vĂ©rification n'est pas automatique, elle ne peut ĂȘtre fiable. J'en vois pas comment l'utilisateur peut vĂ©rifier le certificat lui-mĂȘme. Le serveur "pinning" permettrait de s'affranchir de la chaĂźne de CA, mais c'est carrĂ©ment pas l'idĂ©al. @aeris @codeurimpulsif

@dfgweb @eragon @codeurimpulsif TOFU rĂšgle une partie du problĂšme
 Mais est clairement trĂšs limitant dans le cas de contenu « Ă  haute valeur ». Type banque & cie.

@codeurimpulsif Ça dĂ©pend qui communique avec qui. Sinon, un certificat client, du serveur pinning, le client partage la mĂȘme CA, il y a des alternatives Ă  la chaĂźne de CA classique si l'environnement est maĂźtrisĂ©. @aeris

@codeurimpulsif TLS, c'est du transport, rien Ă  voir avec le protocole Gemini. Si le transport n'est pas fiable, tout ce qui est au dessus ne l'est pas, sans vouloir enfoncer les portes ouvertes... @aeris

@codeurimpulsif Et si tu parles d’un navigateur gemini et non https, alors il y a un grave problĂšme de conception autour de gemini. Ou a minima l’impossibilitĂ© de s’assurer de l’identitĂ© du serveur en face (qui Ă©tait rappelons-le la 1Ăšre prĂ©occupation de HTTPS, le chiffrement Ă©tant le bonus)

@codeurimpulsif Et ça veut dire que des Ă©changes de valeur y seront plus ou moins impossibles vu qu’impossibilitĂ© de garantir d’identitĂ© de la personne en face. En tout cas sans canal auxilliaire non gemini Ă  disposition.

@aeris ça dĂ©pend, le but de gemini est surtout d'ĂȘtre entre Gopher et le web, de pouvoir lire du texte

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!