hallo,
also im Uni-Netz, nutzen wir Anyconnect von ciso als Client, bzw. openconnect. Dort kann man aber OHNE Zertifikat eine Verbindung aufbauen, sprich ich brauche nur Benutzernamen, pw, und die Serveradresse, und bin dann drin. Laut Admins benötigen wir also kein Zertifikat.
Somit kennen wir uns (Client und Server) ja auch nicht?
Doch, denn man hat dir das Passwort auf einem anderem Kanal (regulärer Postweg) mitgeteilt. Das ist theoretisch (wenn man den Aspekt der Vertrauligkeit berücksichtigt, dein Passwort also nicht gestohlen wird) noch sicherer wie das Prüfen von Zertifikaten, denn letzteres wird i.d.R auf demselben unsicheren Kanal getauscht. Seine Sicherheit erhält es nur durch Verifkation mit Dritten, (welche auch wieder mit Zertifkikaten verifiziert werden müssen.)
Die bestmögliche Art verschlüsselter Kommunikation ist immer jene mit Schlüssel/Zertifikatstausch über einen autonomen (sicheren) Kanal. Da dies aber nicht massentauglich, ist bleibt nur noch die Verifkation über Dritte mit Zertifikaten. (Also asymmetrische Verschlüsselung mit dynamischer Generierung eines symmetrischen Schlüssels.)