Una domanda leggermente retorica, suppongo, ma ho cercato di far funzionare wsHttpBinding per la mia applicazione, e anche se funziona perfettamente se sono in grado di importare fisicamente le chiavi richieste su una macchina client (che chiaramente non è fattibile per un'applicazione pubblicamente disponibile), provare a distribuire tali certificati a livello di codice si sta dimostrando estremamente difficile. Non solo, ma ha un punto debole in quanto la password della chiave privata deve essere comunque nell'applicazione di installazione del certificato, in teoria rendendo comunque inutilizzabile il collegamento WCF sicuro.
Ora sono al punto in cui sto considerando semplicemente l'uso di basicHttpBinding, ma la crittografia della quantità limitata di dati che sto inviando utilizzando la chiave pubblica del server (file basato su CryptoSys PKI). BasicHttpBinding mi lascia aperto a qualsiasi altro tipo di rischio? Io uso solo la connettività del server per soddisfare le richieste di attivazione, dopodiché non è necessario nessun altro contatto.
Non ho notato altre applicazioni che installano certificati sul mio computer per soddisfare le richieste di attivazione - ad es. Kaspersky deve contattare in modo sicuro il suo server di attivazione, ma non ci sono certificati evidenti nel negozio.