La parte importante del certificato non è in realtà il certificato stesso, ma l'oggetto che lo accompagna chiama la chiave privata . Il file "p12" contiene entrambi. Durante la connessione, il certificato (la parte pubblica) viene mostrato al server e la chiave privata viene utilizzata per convincere il server che la chiave privata è effettivamente lì (quindi, presumibilmente, il proprietario della chiave, cioè tu). Tecnicamente, una firma digitale è coinvolta; questo è gestito all'interno dei meccanismi del protocollo SST / TLS (utilizzato per ogni URL "https: //") .
L'interesse principale, per una banca, nell'utilizzare l'autenticazione client basata su certificati è che la tua chiave privata non può essere rubata con il phishing. Se le persone malvagie impostano un sito Web fasullo che sembra davvero un vero e proprio sito bancario, potrebbero indurti a inserire la tua password e poi a imparare la tua password; ma non possono rubare la tua chiave privata. Questa è la magia delle firme crittografiche: il potere di verificare non implica il potere di generare. Anche se ti connetti follemente a un server falso, e quel server richiede una prova di possesso della tua chiave privata (come per SSL), questo non permetterà al falso server di imparare la tua chiave privata e impersonarti.
Questo è il tuo vantaggio: la protezione dal phishing. I siti Web fasulli sembrano essere la minaccia di sicurezza più correlata a Internet per le banche, quindi è logico che provino a fare qualcosa contro di esso.
Potremmo anche obiettare che la tua chiave privata non verrà afferrata da un keylogger, contrariamente alla tua password, ma non è un argomento molto valido, perché i keylogger software possono registrare le chiavi solo perché hanno un accesso privilegiato al tuo macchina, a quel punto possono anche prendere o almeno usare la chiave privata. (L'argomento funziona ancora nel caso di keylogger "hardware", come una telecamera nascosta vicino al soffitto con una buona visuale sulla tastiera.)
C'è un altro potenziale vantaggio, ma non è per te; è piuttosto per la banca. La distribuzione dei certificati ai clienti, all'interno di una specifica procedura, può essere il primo passo per le firme sulle transazioni con non-ripudio . Questo non è qualcosa che si ottiene con SSL (dove la firma è sulla sessione , non sui dati trasmessi); richiede un codice speciale sul lato client. Le firme con non rifiuto sono un'arma legale contro tu , nel caso in cui tu usi il sito Web per inviare un ordine di transazione finanziaria e poi provi a rinegoziarlo. La firma può quindi essere utilizzata come prova, in tribunale, che tu l'abbia fatto davvero.
È improbabile che la tua banca utilizzi un tale sistema di firma in questo momento; ma la distribuzione dei certificati lato client è come inizia.