Estándar actual de autenticación

¿Quién dijo que el servidor tiene para confiar en ti? Para muchos sitios HTTPS, un servidor hace lo mismo para todos; Google se complace en hacer una búsqueda para cualquiera, y nada de lo que te envía es necesariamente un poco sensible desde su punto de vista. Si a Google no le importa quién eres, literalmente no hay razón para hacer la autenticación del cliente.

Si se desea la autenticación del cliente, aún no necesita hacerlo a través de TLS. Una vez que tiene un canal seguro para otra parte, puede enviar información a lo largo de ese canal, de modo que una vez que el servidor se haya autenticado, el cliente solo puede autenticarse enviando una contraseña. Eso no funciona para el servidor porque normalmente hay muchos clientes, todos los cuales necesitarían saber la contraseña, y por lo tanto podrían hacerse pasar por el servidor a otro cliente. En contraste, no es un problema tan grande si el servidor puede hacerse pasar por un cliente, porque los servidores tienden a ser más confiables que los clientes (tomarán a cualquiera como cliente, lo contrario no es cierto). Si el cliente envía una contraseña, el servidor ya debe haberse autenticado, por lo que debe suceder en TLS, mientras que la autenticación del cliente no tiene que suceder entonces.

Por último, dado que las contraseñas do funcionan bien para la autenticación del cliente y son más fáciles de manejar para los usuarios, la mayoría de los sitios las usan. Los certificados de clientes TLS de las AC tienen poco sentido en la mayoría de los casos; Si el pseudonimia está bien, puede hacer que las personas carguen directamente un certificado de cliente de su elección. Si no es así, normalmente tiene un emisor más autorizado que cualquier CA comercial (es decir, tiene un emisor de confianza, que es a menudo solo tú mismo)

En HTTP, casi nadie usa la autenticación de cliente TLS. La autenticación se realiza en la capa HTTP (ventana emergente del navegador que solicita el nombre de usuario y la contraseña) o en una capa aún más alta mediante formularios de inicio de sesión. Una excepción es CAcert, que opcionalmente permiten el inicio de sesión por certifacte así como el inicio de sesión por contraseña.

Su navegador web no puede simplemente recuperar "un certificado de una CA común". Para que la autenticación del cliente TLS tenga sentido, el certificado debe probar su identidad de alguna manera. Por lo general, cuando obtiene un certificado de cliente (si lo hace), tiene que demostrar su identidad a un tercero de confianza, tal vez mostrando una tarjeta de identificación emitida por el gobierno. El tercero de confianza verifica su identificación y Google puede confiar en el hecho de que usted es el usuario que dice ser. Entonces, USTED tendría que obtener "un certificado de un CA (común?)", Agregarlo como certificado personal a su navegador y decirle a google que asocie ese certificado con su cuenta de google. Esto es demasiado complicado para el despliegue masivo.