SSL 自签名 CA 证书和 PHP 颁发/身份验证

Question

我一直在用 PHP 编写一个身份验证例程，以允许公司用户通过 Internet 访问新工具。我已经弄清楚了大部分内容，但是当谈到如何在会话之间安全地“记住”经过身份验证的用户时，我很好奇。

由于缺乏相关信息，我感觉没有多少人使用客户端 SSL 证书来验证用户是否来自受信任的计算机。在我看来，只要你能让用户信任你的 CA（不是公司内部的问题），为什么没有一种好的、简单的方法来请求、签名、颁发和安装新的客户端证书来帮助防止 MITM 比说 cookie 更好吗？

我不希望客户端证书成为最终的一切，但是我是否缺少一些资源可以帮助我沿着这条道路进一步前进？或者是这个兔子洞太深了，而我详尽的搜索唯一缺少的是“噩梦”这个词来揭露这到底有多糟糕？

谢谢！

Answer 1

很多人使用客户端证书。几乎整个美国联邦政府都这样做。

问题是需要大量的专业知识才能正确地做到这一点。但是，如果操作正确，它的效果很好，并且可以提供比基于密码的身份验证更强的安全性。