Suite à la lecture d'un article de Ploum je découvre Gemini et je test de faire tourner un petit serveur, c'est hyper simple et rigolo.

Et je note qu'il n'y a pas besoin de ces fichus Autorités de Certification pour faire du TLS sans que ça affiche une erreur de confiance bidon \o/

gemini.circumlunar.space/

@codeurimpulsif Euh
 Pour le 2nd §, j’ai un gros gros doute quand mĂȘme
 đŸ€”
C’est impossible que le navigateur ne hurle pas sans une CA valide quelque part dans la chaüne.

@aeris je t'assure qu'aucun navigateur Gemini sur les 5 que j'ai testé n'a crié avec mon certificat auto-généré.

Pour le soucis du TOFU c'est certes chiant Ă  verifier mais perso j'ai du DNSSEC et je peux mettre le certificat dans un record TLSA, si tout est codĂ© pour verifier ça cĂŽtĂ© navigateur (ce que les navigo web ne font toujours pas d'ailleurs --") ça peut ĂȘtre fun

@codeurimpulsif On parle bien de la version https de gemini ? Le certificat n’est pas auto-signĂ© mais vient de Let's Encrypt.

@aeris non pas du https justement, je parle bien de TLS sur Gemini, d'afficher une page web servie par un serveur Gemini sur un navigateur Gemini

@codeurimpulsif @aeris TLS requiert une chaßne de confiance, avec donc des CA connues. Gemini sur TLS n'a aucune raison de différé sur ce point. Donc 2 possibilités:
- soit le client Gemini n'en a rien Ă  foutre de la chaĂźne de confiance -> client poubelle
- soit l'autorité de certification est connue

@dfgweb @aeris Ă  ma connaissance actuellement la seule condition est que le CN du certificat corresponde avec le nom de domaine utilisĂ© mais ça pourra surement ĂȘtre amĂ©liorer par la suite, il ne faut pas oublier que c'est un protocole trĂšs jeune (~ 1 an me semble)

@aeris @dfgweb si ça t'amuse tu peux proposer des modifications aux différents clients, les spécificatiosn relative à TLS pour Gemini sont ici en section 4 : gemini.circumlunar.space/docs/ ça parle justement de TOFU

@codeurimpulsif @dfgweb
This greatly reduces TLS overhead on the network (only one cert needs to be sent, not a whole chain) and lowers the barrier to entry for setting up a Gemini site (no need to pay a CA or setup a Let's Encrypt cron job, just make a cert and go)

Des gens qui Ă©crivent ça ne devraient juste pas avoir le droit de faire de la crypto
 😑

@codeurimpulsif @dfgweb
1- TLS n’a jamais imposĂ© de transmettre toute la chaĂźne. Sans certificat intermĂ©diaire, le certificat final suffit. Mais on a **besoin** de certificats intermĂ©diaire pour des problĂšmes de sĂ©curitĂ© (la clef de la CA racine ne devant jamais ĂȘtre manipulĂ©e)

@codeurimpulsif @dfgweb
2- Payer pour une CA n’a jamais Ă©tĂ© une obligation non plus (CACert & cie) et le renouvellement Ă  90j de LE vient aussi de contrainte opĂ©rationnelle de sĂ©curitĂ© sur TLS.

@codeurimpulsif @dfgweb Et c’est d’autant plus WTF que les gens de gemini repartent d’un navigateur from scratch donc pouvaient parfaitement intĂ©grer un client ACME automatique dĂšs la crĂ©ation
 😑

Follow

@codeurimpulsif @dfgweb HonnĂȘtement fuyez
 Ces gens ne savent absolument pas de quoi ils parlent et n’ont absolument aucune idĂ©e de ce qu’ils font
 😑

· · 0 · 0 · 1
Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!