我正在为一个web服务器项目实现SSL层。我使用的是polarSSL,但我认为这个问题是一个通用的SSL问题。
当我从客户端连接到我的服务器时,我像这样配置SSL协议:
ssl_set_endpoint( &mSsl, SSL_IS_SERVER );
ssl_set_authmode( &mSsl, SSL_VERIFY_NONE );
。我没有验证来自客户端的连接。我需要这么做吗?
大多数浏览器没有客户端证书-尽管有些浏览器有(我认为)。服务器验证客户机是否有任何需要或优势?这是一个服务,我很乐意将数据提供给根本没有客户端证书的客户端。
SSL/TLS中的客户端身份验证在需要服务器了解其客户端时使用。例如,它被广泛用于银行业务,访问定制的公司服务器等。
相反,普通的web服务器旨在为广泛的受众服务,而不关心谁进入。因此,除非知道需要,否则不会使用客户端身份验证。