Dado um site protegido por SSL que anteriormente estava na lista de permissões (Permitir de x.x.x.x etc) e um requisito de um cliente para alterar a maneira como a autenticação funciona, use a verificação do cliente HTTPS X.509.
O problema com isso é que nenhum dos "suspeitos usuais" de CAs SSL tem a capacidade de gerar certificados X.509 sem comprar o serviço de PKI Gerenciada da CA.
Eu só fiz isso apenas para clientes internos, por isso é fácil gerar uma CA auto-assinada e descartar o certificado público da CA nas chaves dos clientes. Para clientes externos, é um pouco menos fácil de fazer e para convencê-los a fazê-lo.
Então parece que as opções são: Desça a rota de um serviço de PKI gerenciado. - Aparentemente isso é proibitivamente caro e significaria substituir as coisas internas da CA também?
OR
Solicite uma autoridade de certificação para assinar seu certificado raiz.
Isso é certo? Alguém já fez algo semelhante antes? Alguém sabe uma estimativa de estimativa para o que uma raiz confiável pode custar?
Esta não é uma questão de compras.
Se o cliente estiver disposto a instalar certificados de cliente nos navegadores da Web de seus usuários para acessar seu site de qualquer maneira, o uso de uma CA autoassinada não é um grande problema, já que você pode incluir esse certificado como bem enquanto você está nisso.
Tags ssl x509 ssl-certificate