<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, May 26, 2014 at 4:14 PM, John Denker <span dir="ltr"><<a href="mailto:jsd@av8n.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=jsd@av8n.com&cc=&bcc=&su=&body=','_blank');return false;">jsd@av8n.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> I'm not talking about the existing client certificates,<br>
 which are a horror show:<br>
  <a href="http://it.toolbox.com/blogs/securitymonkey/howto-securing-a-website-with-client-ssl-certificates-11500" target="_blank">http://it.toolbox.com/blogs/securitymonkey/howto-securing-a-website-with-client-ssl-certificates-11500</a><br>


 I'm talking about how it could be done, how it should be done.</blockquote><div><br></div><div>You might want to look deeper into existing client certificates:</div><div><br></div><div>- The <keygen> facilitates easy key generation within a browser</div>

<div>- The public key (CSR) is then sent to the server to be signed, then the signed key is sent to the browser for installation</div><div>- This certificate is then (optionally) used in subsequent requests</div></div><div>

<br></div><div>That's great... so what's the problem? User experience</div><div><br></div><div>Client certificate UX is terrible in all browsers. Worse, it's inconsistent between browsers. Managing certificates is terrible. Hell, browsers can't even decide whether or not they should use the system trust store or their own.</div>

<div><br></div><div>You can claim that the implementation of client certificates is bad. Fine, I think your scheme (which seems a bit handwavy in the details) looks worse than what we have today. But that's all moot. The real problem isn't the implementation, but UX.</div>

<div><br></div>-- <br>Tony Arcieri<br>
</div></div>