
<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, May 27, 2014 at 8:04 AM, Joe St Sauver <span dir="ltr"><<a href="mailto:joe@oregon.uoregon.edu" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=joe@oregon.uoregon.edu&cc=&bcc=&su=&body=','_blank');return false;">joe@oregon.uoregon.edu</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Tony commented:<br>

<br>

#That's great... so what's the problem? User experience<br>

#<br>

#Client certificate UX is terrible in all browsers. Worse, it's inconsistent<br>

#between browsers. Managing certificates is terrible. Hell, browsers can't<br>

#even decide whether or not they should use the system trust store or their<br>

#own.<br>

<br>

I'd distinguish between two phases when it comes to client certs:<br>

provisioning, and routine use.<br>

<br>

No question about it, provisioning is currently painful, although there are<br>

some commercial tools (Cloudpath ExpressConnect and SecureW2, for example)<br>

that have been putting a lot of effort into making cert installation a lot<br>

less painful, and the Internet2 community has also has been working on<br>

InCert, an open source option (see <a href="https://github.com/Internet2/incert" target="_blank">https://github.com/Internet2/incert</a> and<br>

<a href="http://www.internet2.edu/vision-initiatives/initiatives/trusted-identity-education/incert/#incert-overview" target="_blank">http://www.internet2.edu/vision-initiatives/initiatives/trusted-identity-education/incert/#incert-overview</a></blockquote>


<div><br></div><div>Again, from a technological perspective, the prerequisites are already there.</div><div><br></div><div>The <keygen> tag (<a href="https://developer.mozilla.org/en-US/docs/Web/HTML/Element/keygen">https://developer.mozilla.org/en-US/docs/Web/HTML/Element/keygen</a>) will generate a key within your browser and submit a CSR as part of an HTML form. The remote side can then send down a signed cert for local installation. This all happens through the browser UI... today. No commercial software needed (although you do need to run a CA on the server side, have fun there)</div>


<div><br></div><div>Good luck getting anyone to figure out how to go through this workflow, or for that matter, manage their certificates among multiple browsers or multiple computers. </div></div><div><br></div>-- <br>Tony Arcieri<br>


</div></div>