L'autenticazione del client in SSL è proprio questa: autenticazione . Convince il server che il client previsto si trova effettivamente dall'altra parte della linea. Tuttavia, il server non ottiene alcuna prova in questo modo: non ci sono dati che il server può raccogliere e mostrare a terzi (un giudice), il che "ovviamente" convincerebbe il giudice che il cliente era effettivamente coinvolto nel processo e ha inviato la richiesta che il server afferma di aver ricevuto.
Il concetto pertinente è non-ripudio . In definitiva, questo è un concetto legale. Tuttavia, tale concetto, a seconda della giurisdizione, tenterà di utilizzare le proprietà tecniche dei protocolli di comunicazione coinvolti come solide basi (o non). L'autenticazione del client in SSL utilizza internamente una firma digitale (come parte degli CertificateVerifica messaggio di handshake ) ma quella firma è calcolata su dati di sfida casuali, ma non i dati dell'applicazione (richieste e risposte HTTP ) che viene inviato nel tunnel SSL. In effetti, questa firma avviene prima i dati dell'applicazione vengono inviati in entrambe le direzioni. Pertanto, tecnicamente, tale firma non fornisce non ripudio, poiché non copre i dati effettivi.
In altre parole, ciò che il server può mostrare a un giudice può essere una prova convincente che il client ha inviato la richiesta presunta solo se il giudice ritiene che il server abbia applicato tutte le verifiche necessarie e sia completamente onesto. Tuttavia, tale caso verrà portato all'attenzione di un giudice solo in caso di contenzioso tra il cliente e il proprietario del server; in quanto tale, non avrebbe molto senso assumere arbitrariamente che il server fosse onesto (ciò renderebbe il risultato di prova piuttosto parziale).
Riepilogo: se consideri l'autenticazione del client basata su certificato SSL come una "firma", è probabile che il valore legale risultante non resti in tribunale, almeno non quando il server stesso ( o il suo proprietario) è una delle parti in causa. potrebbe funzionare se ci si trova in un contesto in cui può essere in qualche modo provato che il server è completamente onesto e non tenta di inquadrare l'utente; questo non è il solito contesto quando si considerano le firme digitali (di solito, le firme digitali sono richieste dal server per consentire a il server di citare in giudizio il cliente successivamente).