On Thu, 15 Sep 2016 12:53:06 +0300 Bogdan <bog...@gmail.com> wrote: > > Если я правильно интерпретировал документацию. то готовое решение - > это Auto Enrollment в Microsoft Active Directory Certification > Services - > https://technet.microsoft.com/en-us/library/cc771107(v=ws.11).aspx > т.е., но к сожалению работает только с AD :/
Кстати, возможно что да. Те, кому нужен security theater будут использовать винду. > > Доступные мне протоколы авторизации позволяют передавать только > плейнтекст, либо заведомо уязвимые хэши паролей (md5 или ntlm) поверх > TLS-сессии. Защищенность такой сессии зависит исключительно от > корректности настройки (принудительная проверка "моего" CA) на Да, ну и что? Уязвимым местом является все равно не TLS-сессия, а хранение пароля или закрытго ключа на устройстве пользователя и возможность внедрения к нему на устройство кейлоггера. Использование авторизации по сертификатам как правило, снижает usability сильнее чем повышает security. Если сервис использует публичное доменное имя и публичный CA (хотя бы и startssl.com или letsencrypt), то mitm-атака, позволяющая получить хеш от пароля требует серьезной организационной поддержки - компрометация публичного CA под силу, пожалуй, только спецслужбе государства.