Suite à la lecture d'un article de Ploum je découvre Gemini et je test de faire tourner un petit serveur, c'est hyper simple et rigolo.
Et je note qu'il n'y a pas besoin de ces fichus Autorités de Certification pour faire du TLS sans que ça affiche une erreur de confiance bidon \o/
@codeurimpulsif EuhâŠÂ Pour le 2nd §, jâai un gros gros doute quand mĂȘme⊠đ€
Câest impossible que le navigateur ne hurle pas sans une CAÂ valide quelque part dans la chaĂźne.
@aeris je t'assure qu'aucun navigateur Gemini sur les 5 que j'ai testé n'a crié avec mon certificat auto-généré.
Pour le soucis du TOFU c'est certes chiant Ă verifier mais perso j'ai du DNSSEC et je peux mettre le certificat dans un record TLSA, si tout est codĂ© pour verifier ça cĂŽtĂ© navigateur (ce que les navigo web ne font toujours pas d'ailleurs --") ça peut ĂȘtre fun
@codeurimpulsif On parle bien de la version https de gemini ? Le certificat nâest pas auto-signĂ© mais vient de Let's Encrypt.
@codeurimpulsif Ou alors je ne comprend pas de quoi tu parles. đ€·
@aeris non pas du https justement, je parle bien de TLS sur Gemini, d'afficher une page web servie par un serveur Gemini sur un navigateur Gemini
@codeurimpulsif @aeris TLS requiert une chaßne de confiance, avec donc des CA connues. Gemini sur TLS n'a aucune raison de différé sur ce point. Donc 2 possibilités:
- soit le client Gemini n'en a rien Ă foutre de la chaĂźne de confiance -> client poubelle
- soit l'autorité de certification est connue
@codeurimpulsif @dfgweb Et donc ça ne vĂ©rifie rien => poubelle đ€Ł
@codeurimpulsif @dfgweb (Sachant en plus que CN a Ă©tĂ© dĂ©prĂ©ciĂ©, je juste rigole aussi đ€Ł )
https://frasertweedale.github.io/blog-redhat/posts/2017-07-11-cn-deprecation.html
@aeris @dfgweb si ça t'amuse tu peux proposer des modifications aux différents clients, les spécificatiosn relative à TLS pour Gemini sont ici en section 4 : https://gemini.circumlunar.space/docs/specification.html ça parle justement de TOFU
@codeurimpulsif @dfgweb
This greatly reduces TLS overhead on the network (only one cert needs to be sent, not a whole chain) and lowers the barrier to entry for setting up a Gemini site (no need to pay a CA or setup a Let's Encrypt cron job, just make a cert and go)
Des gens qui Ă©crivent ça ne devraient juste pas avoir le droit de faire de la crypto⊠đ
@codeurimpulsif @dfgweb
1- TLS nâa jamais imposĂ© de transmettre toute la chaĂźne. Sans certificat intermĂ©diaire, le certificat final suffit. Mais on a **besoin** de certificats intermĂ©diaire pour des problĂšmes de sĂ©curitĂ© (la clef de la CA racine ne devant jamais ĂȘtre manipulĂ©e)
@codeurimpulsif @dfgweb
2- Payer pour une CA nâa jamais Ă©tĂ© une obligation non plus (CACert & cie) et le renouvellement Ă 90j de LE vient aussi de contrainte opĂ©rationnelle de sĂ©curitĂ© sur TLS.
@codeurimpulsif @dfgweb Et câest dâautant plus WTF que les gens de gemini repartent dâun navigateur from scratch donc pouvaient parfaitement intĂ©grer un client ACME automatique dĂšs la crĂ©ation⊠đ
@codeurimpulsif @dfgweb HonnĂȘtement fuyez⊠Ces gens ne savent absolument pas de quoi ils parlent et nâont absolument aucune idĂ©e de ce quâils font⊠đ