Vlákno názorů k článku
Let's Encrypt ukončí v příštím roce podporu TLS certifikátů pro ověřování klientů od Filip Jirsák - Ano jsem nevěděl, že tam ten příznak dávají....

Ano jsem nevěděl, že tam ten příznak dávají. Ale je škoda, že to ruší – získat zdarma důvěryhodný klientský certifikát není jednoduché.

Nicméně hlavní problém je v tom, že TLS vyžaduje klientské certifikáty, že nestačí veřejný klíč. Nenapadá mne žádná implementace, která by důvěřovala všem klientským certifikátům nějaké autority, a rozlišovala uživatele třeba podle e-mailu v certifikátu. Všechny implementace, co znám, vyžadují explicitní registraci konkrétního certifikátu – tudíž certifikační autorita je tam jen na obtíž, protože je to jen omezení, ale nic to nepřináší.

Cisco AnyConnect při přihlašování certifikátem ověřuje CA a poté validuje e-mailovou adresu vůči LDAPu/Radiusu.
Fortigate - přihlášení jako administrátor ověřuje CA a poté e-mailovou adresu.

Ale to jsme mimo Let's Encrypt a serverové certifikáty.

No, když to dělají zrovna tihle dva, je to pro mne pomalu doporučení dělat to jakkoli jinak… Nicméně předpokládám, že je to myšlené tak, že se bude používat interní autorita. Jak je ostatně napsáno i ve zprávičce.
Já jsem myslel spíš na to (ale nenapsal jsem to, uznávám), že by takhle někdo používal veřejné autority. Že by někdo povolil přihlášení certifikátem vydaným jakoukoli důvěryhodnou certifikační autoritou (třeba podle seznamu autorit Mozilly) a e-mail z certifikátu použil jako identifikátor uživatele. Nebo že by to samé udělal pro nějaký omezený seznam certifikačních autorit (protože do TLS výzvy serveru asi není reálné nacpat názvy všech důvěryhodných autorit).

Coze? Mr vsechno znam vsude sem byl nevi? Trebas strongswan. A predpokladam, ze vsechny pricetny vpnky. Ipsec vylozene pocita s tim, ze prihlasovani bude na tema klic+login.

Vidíte, a přitom by stačilo, kdybyste si nejprve přečetl ještě ty další dva komentáře ve vlákně.