当涉及到网络上的身份验证时, 我们几乎都熟悉的密码-山之王, 臭名昭著的既缺陷, 也其无处不在。在密码之外, 您经常会遇到身份验证方案, 如令牌共享 (例如, oauth 或 rsa 令牌)。您很少看到的另一种方法是低级客户端证书形式的身份验证。客户端证书与更流行的服务器证书相关, 并且存在于相同的 tls 握手中。换句话说, 来自 web 浏览器的询问服务器是否具有 ssl 证书的初始连接也涉及服务器询问浏览器是否具有 ssl 证书。由于前者在 https 中的使用, 在过去十年中, 前者的采用意义重大。客户端证书仅对身份验证有用, 因此相比之下, 它们的采用比服务器证书更受限。尽管它缺乏受欢迎程度和一些繁琐的方面, 客户端证书是兼容的现代桌面浏览器和 web 服务器。对于某些用例, 为了 ssl 证书的绝对安全, 放弃密码的绝对便利是有意义的。 read more

谷歌上周大新闻宣布, chrome 68 将把所有没有 ssl 证书的网站都标记为 "不安全"。虽然此举是备受期待的许多人, 这仍将是一个干扰过程, 许多网站运营商尚未接受 https 的无形利益。 read more