Le système #Gemini, revenir à du simple et sûr pour distribuer l'information en ligne ? (Le Web est trop complexe et offre trop de possibilités de pistage.)

bortzmeyer.org/gemini.html

#sobriétéNumérique #lowCost #Gopher #viePrivée

(J'attends maintenant que Framasoft crée un FramaGemini...)

@bortzmeyer Simple et sûr quand tu vois qu’ils ont une incompréhension quasi-total de X.509 et de TLS, j’ai un gros doute quand même 🤣

@aeris J'aime ton sens de la nuance. « incompréhension quasi-total de X.509 et de TLS  » juste parce que des gens publient de l'auto-signé ?

@bortzmeyer « This greatly reduces TLS overhead on the network (only one cert needs to be sent, not a whole chain) and lowers the barrier to entry for setting up a Gemini site (no need to pay a CA or setup a Let's Encrypt cron job, just make a cert and go). » J’ai du mal à compter le nombre d’incompréhensions sur X.509 et TLS dans cette simple phrase… 🤷

@aeris Ah, OK, le TOFU. Justement, dans ce cas, on n'utilise pas le modèle de validation de X.509, juste son format. Comme avec DANE et je ne pense pas que DANE ne comprenne pas X.509.

@bortzmeyer Ce n’est pas TOFU que je critique ici mais les justifications foireuses de pourquoi pas X.509/TLS classiques.

@bortzmeyer Quand tu démarres un projet avec des clients de facto custom, les 2 arguments donnés pour virer X.509 et TLS sont absolument et absurdement faux.

Follow

@bortzmeyer Un client TLS standard basé sur X.509 version X25519 partout limite très très fortement l’overhead (certificats et clefs ridiculement petites), et comme on est tout neuf, intégrer du ACME auto nativement règle aussi le problème de LE.

@bortzmeyer Tout comme rejeter a priori l’usage de chaîne de certification, c’est découvrir dans 2 ans qu’on est vachement emmerder pour foutre nos clefs privées critiques dans des HSM et d’en limiter l’usage courant via des signatures intermédiaires.

@aeris ACME est un protocole très compliqué et cela ne me semble pas une bonne idée que de l'intégrer dans le serveur Gemini. Plutôt faire ça à l'extérieur, comme je l'ai fait pour mon propre serveur.

@bortzmeyer Ce n’est pas si compliqué, et je suis aussi partisan de le gérer à l’extérieur, mais en tout cas leurs arguments ne tiennent pas dans le cas où on peut écrire plus ou moins tout ce qu’on veut dans le code d’un nouveau projet.

@bortzmeyer En parlant de déléguer l'obtention de certificats à un service tiers… As-tu un avis sur le fait de confier la terminaison TLS de tous les services du serveur à un démon ?

@emersion Si ce démon est contrôlé par le/la même admin que les services du serveur, avec les mêmes principes (logiciel libre), je ne vois pas de problème politique ou technique.

@bortzmeyer Excellent. J'ai expérimenté avec cette idée et je me demandais pourquoi elle est si peu utilisée. Je vais juste en conclure qu'elle est moins triviale à mettre en place qu'un cron :P

@aeris @bortzmeyer

Pour ma pars, j'utilise LE pour mes sites web, donc je réutilise le certificat pour mon serveur gemini.
Maintenant mon petit utilitaire de client gemini en node fonctionne sans désactiver mettre NODE_TLS_REJECT_UNAUTHORIZED à 0.

Peut être que le site officiel de gemini devrait en faire autant…

@aeris @bortzmeyer

Woupsie. un client tls qui ce repose sur les autorité de certification va faire la tronche.

Après on va pas ce le cacher, c'est compliqué à comprendre pour le commun des mortels le fonctionnement de TLS, avec ces chaines de certificat d'autorité et tout.
Et quand on veux un truc qui juste marche c'est chiant.

Je rappel que le blocage des certificat autosigné dans le navigateur ce fait seulement depuis quelques années.
J'ai commencé https en auto-certifié et ça passait.

@Purexo @bortzmeyer Ça n’a jamais passé, il y a toujours eu une erreur. Moins anxiogène qu’aujourd’hui mais une erreur quand même.

@Purexo @bortzmeyer Et attention aussi avec s_client qui par défaut ne vérifie absolument rien du certificat en face. Tout répondra toujours OK même sur les trucs les plus creepy

@aeris @bortzmeyer
C'était vraiment juste pour illustrer la synthèse de la chaine de certificat.
J'y penserai le jours ou j'aurais besoin de vraiment vérifier le certificat avec openssl.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!