Suite à la lecture d'un article de Ploum je découvre Gemini et je test de faire tourner un petit serveur, c'est hyper simple et rigolo.
Et je note qu'il n'y a pas besoin de ces fichus Autorités de Certification pour faire du TLS sans que ça affiche une erreur de confiance bidon \o/
@codeurimpulsif Euh… Pour le 2nd §, j’ai un gros gros doute quand même… 🤔
C’est impossible que le navigateur ne hurle pas sans une CA valide quelque part dans la chaîne.
@aeris je t'assure qu'aucun navigateur Gemini sur les 5 que j'ai testé n'a crié avec mon certificat auto-généré.
Pour le soucis du TOFU c'est certes chiant à verifier mais perso j'ai du DNSSEC et je peux mettre le certificat dans un record TLSA, si tout est codé pour verifier ça côté navigateur (ce que les navigo web ne font toujours pas d'ailleurs --") ça peut être fun
@codeurimpulsif On parle bien de la version https de gemini ? Le certificat n’est pas auto-signé mais vient de Let's Encrypt.
@codeurimpulsif Ou alors je ne comprend pas de quoi tu parles. 🤷
@aeris non pas du https justement, je parle bien de TLS sur Gemini, d'afficher une page web servie par un serveur Gemini sur un navigateur Gemini
@codeurimpulsif @aeris TLS requiert une chaîne de confiance, avec donc des CA connues. Gemini sur TLS n'a aucune raison de différé sur ce point. Donc 2 possibilités:
- soit le client Gemini n'en a rien à foutre de la chaîne de confiance -> client poubelle
- soit l'autorité de certification est connue
@codeurimpulsif @dfgweb Et donc ça ne vérifie rien => poubelle 🤣
@codeurimpulsif @dfgweb (Sachant en plus que CN a été déprécié, je juste rigole aussi 🤣 )
https://frasertweedale.github.io/blog-redhat/posts/2017-07-11-cn-deprecation.html
@aeris @dfgweb si ça t'amuse tu peux proposer des modifications aux différents clients, les spécificatiosn relative à TLS pour Gemini sont ici en section 4 : https://gemini.circumlunar.space/docs/specification.html ça parle justement de TOFU
@codeurimpulsif @dfgweb
1- TLS n’a jamais imposé de transmettre toute la chaîne. Sans certificat intermédiaire, le certificat final suffit. Mais on a **besoin** de certificats intermédiaire pour des problèmes de sécurité (la clef de la CA racine ne devant jamais être manipulée)
@codeurimpulsif @dfgweb Et c’est d’autant plus WTF que les gens de gemini repartent d’un navigateur from scratch donc pouvaient parfaitement intégrer un client ACME automatique dès la création… 😑
@codeurimpulsif @dfgweb Honnêtement fuyez… Ces gens ne savent absolument pas de quoi ils parlent et n’ont absolument aucune idée de ce qu’ils font… 😑
@codeurimpulsif @dfgweb
2- Payer pour une CA n’a jamais été une obligation non plus (CACert & cie) et le renouvellement à 90j de LE vient aussi de contrainte opérationnelle de sécurité sur TLS.