ここ銀行がやってるみたいに、クライアント証明書を使ったログインシステムを作りたいと唐突に思い始めた。
クライアント証明書がインストールされていない端末からはアクセス不能になるのでセキュリティレベルが上がる。
ApacheのSSLの設定で、クライアント証明書を要求するように設定すれば良いので作業は意外と簡単。アプリ側ではSSL_CLIENT_S_DN_CNという環境変数を取得して、ユーザーを識別すればいい。
問題は証明書のコストか。一番安いグローバルサインの証明書でも、一ライセンスあたり年間で1万円くらいかかる。 B2B案件ならたいした金額ではないけど、B2Cが絡むとなると悩む。