💾 Archived View for unbon.cafe › lejun › posts › 20221207_transportLayerSecurity.gmi captured on 2023-04-26 at 13:39:31. Gemini links have been rewritten to link to archived content
⬅️ Previous capture (2023-01-29)
-=-=-=-=-=-=-
Le protocole Secure Socket Layer (SSL), par la suite devenu Transport Layer Security (TLS), est une méthode de chiffrement des échanges sur Internet. Il propose de chiffrer les données naviguant entre deux parties, de manière à s’assurer de l’identité de part et d’autre ainsi que de l’intégrité des données de manière à limiter les conséquences en cas d’interception.
Le certificat SSL – techniquement TLS, le premier étant déprécié depuis 1996 – permet d’assurer l’authenticité d’un site de sorte à ce que les informations ne circulent qu’entre les deux parties – c’est d’ailleurs de là que vient la distinction entre un site HTTP et HTTPS, il est recommandé d’éviter d’entrer des informations sur un site n’ayant pas de certificat valide. Ce qui ne permet nullement d’être gage du site, de la véracité des informations, de la qualité des services proposés, etc…
Les autorités de certification sont des organismes tiers qui délivrent des certificats comme service rémunéré, mais il est également possible qu’un certificat soit auto-signé – À noter qu’il me paraît étrange de faire appel à ces autorités de certification alors même que la tendance est à la décentralisation[1]. Dans un cas comme dans l’autre il n’existe pas de solution parfaite mais uniquement différents niveaux d’un réseau de confiance.
Bien qu'utile sur l'aspect de la sécurité, l'usage du protocole peut-être critiqué et jugé excessif dans un cadre traditionnel n'impliquant pas le transfert de données sensibles[2].
La couche de sécurité ajoutée présente un coût. Traduit notamment dans la quantité de ressources sollicitées, c'est surtout une barrière d'accès à l'encontre des navigateurs web qui doivent mettre en place des méthodes pour prendre en charge ce protocole.
Certains navigateurs dans un soucis de sécurité forcent la navigation HTTPS, ce qui peut poser problème sur des réseaux WiFi publics « mal-configurés ». Les réseaux publics invitent généralement à se connecter via un portail spécifique qui, bien que ne portant pas toujours d'information sensible, se font via HTTP uniquement. Pour forcer l'apparition de ces portails, il est possible de passer via NeverSSl qui se veut ne jamais utiliser le protocole TLS[3].
À noter que Gemini – que je considère comme étant un espace d'écriture[4] – requiert obligatoirement l'usage de TLS[5], ce qui au final n'a d'intérêt que de garantir l'origine du contenu.
[1] Du besoin d’auto-hébergement, LeJun 2022
[2] Consider Disabling HTTPS Auto Redirects, 1MB Club 2022
[4] There is no content on Gemini, Ploum 2022
[5] TLS, client certificates, TOFU, and all that jazz, Solderpunk 2019