Le système #Gemini, revenir à du simple et sûr pour distribuer l'information en ligne ? (Le Web est trop complexe et offre trop de possibilités de pistage.)

bortzmeyer.org/gemini.html

#sobriétéNumérique #lowCost #Gopher #viePrivée

(J'attends maintenant que Framasoft crée un FramaGemini...)

@bortzmeyer Simple et sûr quand tu vois qu’ils ont une incompréhension quasi-total de X.509 et de TLS, j’ai un gros doute quand même 🤣

@aeris J'aime ton sens de la nuance. « incompréhension quasi-total de X.509 et de TLS  » juste parce que des gens publient de l'auto-signé ?

@bortzmeyer « This greatly reduces TLS overhead on the network (only one cert needs to be sent, not a whole chain) and lowers the barrier to entry for setting up a Gemini site (no need to pay a CA or setup a Let's Encrypt cron job, just make a cert and go). » J’ai du mal à compter le nombre d’incompréhensions sur X.509 et TLS dans cette simple phrase… 🤷

@aeris Ah, OK, le TOFU. Justement, dans ce cas, on n'utilise pas le modèle de validation de X.509, juste son format. Comme avec DANE et je ne pense pas que DANE ne comprenne pas X.509.

@bortzmeyer Ce n’est pas TOFU que je critique ici mais les justifications foireuses de pourquoi pas X.509/TLS classiques.

@bortzmeyer Quand tu démarres un projet avec des clients de facto custom, les 2 arguments donnés pour virer X.509 et TLS sont absolument et absurdement faux.

@bortzmeyer Un client TLS standard basé sur X.509 version X25519 partout limite très très fortement l’overhead (certificats et clefs ridiculement petites), et comme on est tout neuf, intégrer du ACME auto nativement règle aussi le problème de LE.

@aeris @bortzmeyer

Pour ma pars, j'utilise LE pour mes sites web, donc je réutilise le certificat pour mon serveur gemini.
Maintenant mon petit utilitaire de client gemini en node fonctionne sans désactiver mettre NODE_TLS_REJECT_UNAUTHORIZED à 0.

Peut être que le site officiel de gemini devrait en faire autant…

@aeris @bortzmeyer

Woupsie. un client tls qui ce repose sur les autorité de certification va faire la tronche.

Après on va pas ce le cacher, c'est compliqué à comprendre pour le commun des mortels le fonctionnement de TLS, avec ces chaines de certificat d'autorité et tout.
Et quand on veux un truc qui juste marche c'est chiant.

Je rappel que le blocage des certificat autosigné dans le navigateur ce fait seulement depuis quelques années.
J'ai commencé https en auto-certifié et ça passait.

Follow

@Purexo @bortzmeyer Ça n’a jamais passé, il y a toujours eu une erreur. Moins anxiogène qu’aujourd’hui mais une erreur quand même.

@Purexo @bortzmeyer Et attention aussi avec s_client qui par défaut ne vérifie absolument rien du certificat en face. Tout répondra toujours OK même sur les trucs les plus creepy

@aeris @bortzmeyer
C'était vraiment juste pour illustrer la synthèse de la chaine de certificat.
J'y penserai le jours ou j'aurais besoin de vraiment vérifier le certificat avec openssl.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!