Le système #Gemini, revenir à du simple et sûr pour distribuer l'information en ligne ? (Le Web est trop complexe et offre trop de possibilités de pistage.)

bortzmeyer.org/gemini.html

#sobriétéNumérique #lowCost #Gopher #viePrivée

(J'attends maintenant que Framasoft crée un FramaGemini...)

@bortzmeyer Simple et sûr quand tu vois qu’ils ont une incompréhension quasi-total de X.509 et de TLS, j’ai un gros doute quand même 🤣

@aeris J'aime ton sens de la nuance. « incompréhension quasi-total de X.509 et de TLS  » juste parce que des gens publient de l'auto-signé ?

@bortzmeyer « This greatly reduces TLS overhead on the network (only one cert needs to be sent, not a whole chain) and lowers the barrier to entry for setting up a Gemini site (no need to pay a CA or setup a Let's Encrypt cron job, just make a cert and go). » J’ai du mal à compter le nombre d’incompréhensions sur X.509 et TLS dans cette simple phrase… 🤷

@aeris Ah, OK, le TOFU. Justement, dans ce cas, on n'utilise pas le modèle de validation de X.509, juste son format. Comme avec DANE et je ne pense pas que DANE ne comprenne pas X.509.

@bortzmeyer Ce n’est pas TOFU que je critique ici mais les justifications foireuses de pourquoi pas X.509/TLS classiques.

@bortzmeyer Quand tu démarres un projet avec des clients de facto custom, les 2 arguments donnés pour virer X.509 et TLS sont absolument et absurdement faux.

@bortzmeyer Un client TLS standard basé sur X.509 version X25519 partout limite très très fortement l’overhead (certificats et clefs ridiculement petites), et comme on est tout neuf, intégrer du ACME auto nativement règle aussi le problème de LE.

@aeris ACME est un protocole très compliqué et cela ne me semble pas une bonne idée que de l'intégrer dans le serveur Gemini. Plutôt faire ça à l'extérieur, comme je l'ai fait pour mon propre serveur.

Follow

@bortzmeyer En parlant de déléguer l'obtention de certificats à un service tiers… As-tu un avis sur le fait de confier la terminaison TLS de tous les services du serveur à un démon ?

· · Web · 1 · 0 · 0

@emersion Si ce démon est contrôlé par le/la même admin que les services du serveur, avec les mêmes principes (logiciel libre), je ne vois pas de problème politique ou technique.

@bortzmeyer Excellent. J'ai expérimenté avec cette idée et je me demandais pourquoi elle est si peu utilisée. Je vais juste en conclure qu'elle est moins triviale à mettre en place qu'un cron :P

Sign in to participate in the conversation
Octodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!