Аутентификация клиента по сертификату

startssl

удобнейший

Нет, ибо в браузерах реализовано через жопу. А вне веба оно вполне себе популярно.

снимает с пользователя необходимость придумывать себе логин

А кто его будет придумывать? А в DN кто что будет писать?

а также раскрывать свой емейл-адрес

А если пользователь сертификат просрёт, как восстанавливать доступ? А спам крайне важную и полезную информацию куда слать?

полезные живые веб-сервисы
используют этот способ

Взаимоисключающие параграфы, ибо в браузерах жопа.

А в DN кто что будет писать?

Если что-то и надо написать, можно хеш сгенерить, или использовать id, под которым запись в базу упала.

А если пользователь сертификат просрёт, как восстанавливать доступ?

Стандартная процедура в рамках схемы.

startssl

Я ж спросил «кем используется», а не «кто на ней наживается».

Используется разными финансовыми организациями, вроде http://www.sberbank-ast.ru/ или госзакупок. В целом неудобно, ибо обычно работают только с сертификатами от КриптоПро и на разных комбинациях браузеров, а иногда только с установленными на клиенте «правильными» криптопровайдерами.

Работает штатно везде и с пол-пинка, без всяких дополнительных крипто-провайдеров и спец-средств

Это если ключ RSA. А всем нужен гост, ибо законы.

По теме — способ непопулярен, тк пхп-недолюди не знают криптографию. Поэтому юзеры не привыкли. Поэтому в браузерах поддержка только для галочки (например в сафари вообще нет интерфейса дл смены вобранного ключа для сайта). Поэтому и жава-бароны не юзают. Нужно переизобрести это всё, тогда взлетит.

Это если ключ RSA. А всем нужен гост, ибо законы.

это актуально только для «гос» и то с большими оговорками

Поэтому юзеры не привыкли

Привычки меняются очень быстро и практически на-лету, когда есть мотивация.

Этот стандарт работает везде и на практически любых распространенных устройствах/платформах.

Работает для галочки и не везде. Особенно много проблем на мобильных системах. Для начала нужен JS-api, например.

Нужно переизобрести это всё, тогда взлетит.

Увы, похоже на правду. Переизобретёт вот Эпл или Гугл, и это станет модно и молодёжно :) А потом переизобретут IRC, командную строку, двухпанельный коммандер, транзисторы...

1. таскать с собой труднее и дороже, чем пароль. 2. email обычно в сертификате тоже подписан. 3. массовая некриптограмотность и лень делают это пригодным только в местах, где керберос лучше. 4. А ты пробовал правильно сравнивать DNы?

А ты пробовал правильно сравнивать DNы?

я некриптограмотен, можешь без вопросов на засыпку рассказать, в чём проблема?

ну помнится была веселуха а путаницей аттрибутов типа: .../E=john@example.com и .../Email=john@example.com.

...еще виндовый xenroll/cenroll аттрибуты в PKCS10 при формировании CSR в одному Биллу Гейтсу известном порядке сует, а не как его просят, и по разному от версии к версии.

ну и в итоге чтоб «правильно» сравнить DN надо разобрать, нормализовать, отсортировать, заново собрать и вот тогда уж пытаться сравнить.

замечательный механизм. реализован почти во всем что «шевелится» с SSL.

браузеры: начиная с нетскейпа4 в 1998, IE (застал в 2000м с 4й версии), «мозилла»-образные, «хромо»-ногие.... андроид со стоковым (под рукой 2.3) - все из коробки... на маке все тоже хорошо (управление сертами через кейчейн) - сафари без проблем (даже в ойфончике).

на сервере тоже все подряд: апач, нжинкс, IIS, томкаты и все что на яве из коробки умеет (в жре все есть) - типа «ынтырпрайзненько». и вовсе необязательно HTTPS - довекот+экзим для имап-смтп могут сертами авторизовать.

ну там с комстрокой и либы всякие curl, wget, neon, serf... соответственно биндинги во все подряд: похапе, пейтон и т.д.

с гостом конечно хУЖЕ: опенссл гдето с 1.х.четотам поддерживает (но несертифицированный), за сертифицированным к криптопро, лисси, сигналком и т.д. - в т.ч. линуксовые продукты имеются.

аутентификацию то многие умеют, а вот с полным циклом управления сертификатом клиента плёхо : даже тэг <keygen> из нетскейп4 не все поддерживают (есть надежда что после того как его частью хтмл5 сделали ченить улучшится) - потому то активх, то жаба-апплеты чтоб ключик сгенерить.

с одной стороны сложнее КАЖЕТСЯ, по сравнению например с какойнить двухфакторной схемой с «гуглоаутентификатором» или смс-кодами, но это от того что пользователю непонятно что происходит, оно неподконтолько ему в сравнении с геморройным вводом кодов подтверждений на каждый чих - где он себя почти «какером» чувствует наколачивая бесконечные цепочки цифр с клавиатуры :)

но зато очень красиво со стороны сервера, особенно для всяких апи-вэбосервисов, где нужен контекст-лесс механизм запросов и наскоко все просто и прозрачно в сравнении со всякими гирляндами токенов типа оаутх или портянками хмл из ws-security, никаких кук которые надо за собой таскать, следить за протуханием и т.д. всякие «федеративные» схемы аутентификации с перекрёстным доверием делаются вообще с полпинка, без какой либо компрометации секретов пользователя и пр.

с 2000го используем и для корпоративных систем и для обслуживания клиентов. за 15 лет была одна компрометация - когда системой клиента «рулили» по внц и у него «мышка сама все делает» :)