Я настроил один из доменов моего веб-сервера так, чтобы он требовал аутентификацию пользователя через сертификаты клиента SSL, подписанные моим собственным центром сертификации.Я проверил это сейчас с клиентским сертификатом, защищенным парольной фразой.Все работает, но не так, как я надеялся.
И Firefox, и Chromium запрашивают у меня секретную фразу секретного ключа во время импорта файла сертификата в настройках браузера.Даже после закрытия браузера и его повторного открытия, я могу просто получить доступ к своему защищенному домену, выбрав сертификат без запроса пароля.
Хранят ли они пароль или даже хранят свою собственную незашифрованную версиюзакрытый ключ?Я совершенно недоволен этим поведением, так как оно значительно снижает безопасность.Кто-нибудь знает браузер, который не хранит парольную фразу или незашифрованный ключ и запрашивает парольную фразу каждый раз, когда я получаю доступ к защищенному домену?
То, что я хочу, - это в основном то же поведение, которое я знаю из SSH, гдеКлючевую фразу необходимо вводить каждый раз при создании сеанса (за исключением случаев, когда используются такие инструменты, как 'ssh-agent').Может быть, мой единственный безопасный вариант - это туннелирование через SSH?Я хотел избежать этого, поскольку он делает сервер доступным для всех приложений в течение определенного периода времени.