¿Puedo autenticarme en SSL con una clave, como en SSH?
¿Puedo autenticarme en SSL con una clave, como en SSH?
SSL / TLS admite la autenticación del cliente con un par de claves asimétricas. Como se trata de SSL, toma la forma de un certificado de cliente . El servidor solicita un certificado durante el reconocimiento inicial, que indica qué CA raíz utilizará el servidor para validar ese certificado; el cliente envía un certificado al servidor. Por supuesto, esto requiere que el cliente tenga un certificado para enviar.
Los clientes habituales (navegadores) y los servidores admiten esta función. Lo que el servidor hace con el certificado es totalmente de eso. En un mundo de Microsoft Active Directory + IIS, el certificado del cliente, una vez validado, se asigna a una cuenta a través de uno de varios mecanismos (ya sea que el certificado ya esté adjunto a la cuenta en el servidor de AD, o el nombre de la cuenta se encuentra como un "Nombre principal del usuario" en el certificado del cliente).
@Rook habla sobre TLS con SRP , que es algo completamente diferente: con SRP, el cliente y el certificado se autentican entre sí con un secreto compartido (una contraseña). Ya no hay certificado, ni en el cliente ni en el servidor. Esto no tiene equivalente en SSH (hubo un parche para SSH para eso, pero no se mantiene mucho; no se asigna bien a los nombres de cuentas ni a la autenticación, ya que generalmente se administran en sistemas operativos). Los clientes y servidores SSL habituales no son compatibles con SRP (pero esto puede ocurrir en el futuro).
Lea otras preguntas en las etiquetas authentication tls