Suite à la lecture d'un article de Ploum je découvre Gemini et je test de faire tourner un petit serveur, c'est hyper simple et rigolo.

Et je note qu'il n'y a pas besoin de ces fichus Autorités de Certification pour faire du TLS sans que ça affiche une erreur de confiance bidon \o/

https://gemini.circumlunar.space/

@codeurimpulsif Euh… Pour le 2nd §, j’ai un gros gros doute quand même… 🤔
C’est impossible que le navigateur ne hurle pas sans une CA valide quelque part dans la chaîne.

@aeris je t'assure qu'aucun navigateur Gemini sur les 5 que j'ai testé n'a crié avec mon certificat auto-généré.

Pour le soucis du TOFU c'est certes chiant à verifier mais perso j'ai du DNSSEC et je peux mettre le certificat dans un record TLSA, si tout est codé pour verifier ça côté navigateur (ce que les navigo web ne font toujours pas d'ailleurs --") ça peut être fun

@codeurimpulsif On parle bien de la version https de gemini ? Le certificat n’est pas auto-signé mais vient de Let's Encrypt.

@codeurimpulsif Ou alors je ne comprend pas de quoi tu parles. 🤷

@aeris non pas du https justement, je parle bien de TLS sur Gemini, d'afficher une page web servie par un serveur Gemini sur un navigateur Gemini

@codeurimpulsif @aeris TLS requiert une chaîne de confiance, avec donc des CA connues. Gemini sur TLS n'a aucune raison de différé sur ce point. Donc 2 possibilités:
- soit le client Gemini n'en a rien à foutre de la chaîne de confiance -> client poubelle
- soit l'autorité de certification est connue

@dfgweb @aeris à ma connaissance actuellement la seule condition est que le CN du certificat corresponde avec le nom de domaine utilisé mais ça pourra surement être améliorer par la suite, il ne faut pas oublier que c'est un protocole très jeune (~ 1 an me semble)

@codeurimpulsif @dfgweb Et donc ça ne vérifie rien => poubelle 🤣

@codeurimpulsif @dfgweb (Sachant en plus que CN a été déprécié, je juste rigole aussi 🤣 )
https://frasertweedale.github.io/blog-redhat/posts/2017-07-11-cn-deprecation.html

@aeris @dfgweb si ça t'amuse tu peux proposer des modifications aux différents clients, les spécificatiosn relative à TLS pour Gemini sont ici en section 4 : https://gemini.circumlunar.space/docs/specification.html ça parle justement de TOFU

@codeurimpulsif @dfgweb
This greatly reduces TLS overhead on the network (only one cert needs to be sent, not a whole chain) and lowers the barrier to entry for setting up a Gemini site (no need to pay a CA or setup a Let's Encrypt cron job, just make a cert and go)

Des gens qui écrivent ça ne devraient juste pas avoir le droit de faire de la crypto… 😑

@codeurimpulsif @dfgweb
1- TLS n’a jamais imposé de transmettre toute la chaîne. Sans certificat intermédiaire, le certificat final suffit. Mais on a **besoin** de certificats intermédiaire pour des problèmes de sécurité (la clef de la CA racine ne devant jamais être manipulée)

@codeurimpulsif @dfgweb
2- Payer pour une CA n’a jamais été une obligation non plus (CACert & cie) et le renouvellement à 90j de LE vient aussi de contrainte opérationnelle de sécurité sur TLS.