我正在为Web服务器项目实现SSL层。我正在使用polarSSL,但我认为这个问题是一般性的SSL问题。
当我从客户端连接到我的服务器时,我按照以下方式配置SSL protcol:
ssl_set_endpoint( &mSsl, SSL_IS_SERVER );
ssl_set_authmode( &mSsl, SSL_VERIFY_NONE );
E.g。我没有验证客户端的连接。我需要这样做吗?
大多数浏览器都没有客户端证书 - 尽管有些人认为(我认为)。服务器验证客户端是否有任何需要或优势?这是一个服务,我很乐意将数据提供给没有客户端证书的客户端。
答案 0 :(得分:1)
当服务器需要知道其客户端时,使用SSL / TLS中的客户端身份验证。例如,它广泛用于银行业务,访问自定义企业服务器等。
相反,常见的Web服务器旨在为广大受众提供服务,而不关心谁进来。因此,除非您知道自己需要,否则不会使用客户端身份验证。