L’iden­tité avec Mozilla

Il
n’y a pas vraiment de « protocole » pour que le navigateur envoie la clé
publique au serveur de mail, c’est un simple appel d’une fonction JS de
callback: le serveur via une page web fournit une fonction à appeler
pour associer une clé publique à une adresse, l’implémentation de cette
fonction est à sa guise.
Le
mécanisme de découverte des clés publiques liées à une adresse n’est
pas encore décrit dans la spec, et je ne sais pas si les auteurs
considèrent qu’il entre dans le périmètre. WebFinger est un moyen
possible pour découvrir la clé publique liée à une adresse mail, mais
rien n’est fixé. Je ne sais pas par exemple si pour PGP il existe un
protocole de découverte de clés autrement qu’en interrogeant des
annuaires.
La
question de la révocation des certificats est clairement signalée dans le
brouillon de spec comme quelque chose qui reste à définir.
Pour
simplifier les développements pour les sites qui souhaitent mettre en
place cette authentification, ils pourront utiliser un service tiers de
vérification: ils n’auront besoin que d’implémenter le javascript de
récupération de l’adresse et de l’envoyer à un service qui la vérifiera.
Charge à eux de trouver un service auquel ils feront confiance. Mozilla
devrait mettre en place un tel service.

Sur
la simplicité, elle est à voir du point de vue de l’utilisateur, pas de
l’architecture à mettre en place derrière. Ceci dit, les autorités
secondaires et les services tiers de vérification peuvent se charger du
plus gros du boulot. Si tu trouves un prestataire de confiance,
l’implémentation sur ton site nécessite juste un peu de JS et un appel
de web service.

Par
rapport à OpenID, le principal avantage que je vois est de pouvoir
utiliser n’importe quelle adresse mail existante, ne pas demander aux
gens de se créer encore un nouveau compte (je sais que beaucoup de gens ont déjà accès sans le savoir à OpenID via Gmail par exemple. Beaucoup mais pas tous les internautes. Tous par contre ont déjà une adresse mail. La « certification » d’une adresse mail existante, avec une interface agréable entre ton webmail et ton navigateur, est probablement plus intuitive que la création d’un OpenID.

OpenID est séduisant sur le papier, mais pour l’instant ça ne prend pas et on voit de plus en plus de sites l’abandonner. De ce que j’ai lu, les gens du groupe de travail Identity de Mozilla considèrent que c’est un échec ( cf https://wiki.mozilla.org/Ident… ) et veulent explorer d’autres voies.
Pour ce qui est de WebID, je ne connais pas assez pour te répondre.

Sur
le tiers de confiance, je partage tes inquiétudes. Il y a sûrement
moyen d’enrichir la spec en rajoutant du réseau de confiance ou autre.
Mais même spécifié, ça dépendra de la volonté des implémenteurs. Donc je n’ai pas grand espoir.
Une chose est sure, il faut proposer une alternative à Facebook Connect qui offre davantage de contrôle à l’utilisateur. Verified emails va dans ce sens. Mais n’aboutira que si un consensus se fait pour l’implémenter dans suffisament de navigateurs.
Je
ne suis pas du tout spécialiste des question d’identification, j’ai
voulu présenter la proposition de Mozilla pour lancer le débat, et sur
ce point mon but semble atteint. Maintenant, j’attend de lire d’autres
argumentaires.