[7] [DFN[[CODE[Mutual]]]] は、 [[HTTP認証]]用に提案されている[[方式][認証方式]]の一種です。

* 仕様書

[REFS[
- [5] [CITE@en[RFC 8120 - Mutual Authentication Protocol for HTTP]]
([TIME[2017-04-20 12:04:06 +09:00]])
<https://tools.ietf.org/html/rfc8120>
- [6] [CITE@en[RFC 8121 - Mutual Authentication Protocol for HTTP: Cryptographic Algorithms Based on the Key Agreement Mechanism 3 (KAM3)]]
([TIME[2017-04-19 22:21:26 +09:00]])
<https://tools.ietf.org/html/rfc8121>
]REFS]

* プロトコル

[11] [[HTTP認証]]のための[[要求]]と[[応答]]を何往復か使います。

** [CODE[auth-scheme]]

[10] [[HTTP認証]]における [CODE[auth-scheme]] は [CODE[Mutual]] です [SRC[>>5]]。

** サーバー

[12] [[起源サーバー]]の認証にも、[[プロキシ]]の[[認証][プロキシ認証]]にも使えます [SRC[>>5]]。

* 実装

[9] 開発者の実装 (>>2) 以外の実装例があるのかは不明です。

[15] 開発者の実装 (>>2) も2015年以来更新されていません。
[[Webサイト]]には [[RFC]] が出版されたことも言及されていませんし、
デモサイトも接続できない状態のようです。 [TIME[2017-04-24T11:35:06.300Z]]

;; [19] 開発元の [[RCIS]] という組織は改組で消滅したらしい。
[CODE[Mutual]] がどうなったのかは不明。

* 関連

[8] [[TLS相互認証]]とは無関係です。

* 歴史

[1] [CITE@en[Mutual Authentication Protocol for HTTP]]
( ([TIME[2010-10-25 16:54:46 +09:00]] 版))
<https://www.rcis.aist.go.jp/special/MutualAuth/files/spec/draft-oiwa-http-mutualauth-08.html>

[2] [CITE@ja[産総研 RCIS: フィッシング対策のためのHTTP相互認証プロトコル]]
( ([TIME[2012-06-09 16:58:28 +09:00]] 版))
<https://www.rcis.aist.go.jp/special/MutualAuth/>

[3] [CITE@ja[産総研 RCIS: MutualAuth: MutualTestFox: 相互認証プロトコル試験用Webブラウザ]]
( ([TIME[2014-12-19 18:04:30 +09:00]] 版))
<https://www.rcis.aist.go.jp/special/MutualAuth/software/MutualTestFox/index-ja.html>

[4] [CITE@ja[Networkキーワード - HTTP Mutualアクセス認証:ITpro]]
([TIME[2016-01-01 14:11:52 +09:00]] 版)
<http://itpro.nikkeibp.co.jp/article/Keyword/20080722/311233/?rt=nocnt>


[FIG(quote)[
[FIGCAPTION[
[13] [CITE@ja[産総研とヤフーが相互認証プロトコル「HTTP Mutual」の実装を公開 - @IT]]
([TIME[2017-04-24 20:30:29 +09:00]])
<http://www.atmarkit.co.jp/news/200804/23/httpmutual.html>
]FIGCAPTION]

> 2008/04/23
>  産業技術総合研究所(産総研)とヤフーは4月22日、新しい認証プロトコル「HTTP Mutualアクセス認証」を組み込んだWebブラウザ「MutualTestFox」と、同プロトコルに対応したApache用モジュール「mod_auth_mutual」を開発し、オープンソースで公開した。
>  MutualTestFoxは、Firefox 3のソースコードをベースとし、新認証プロトコルを機能追加したWebブラウザで、mod_auth_mutualを組み込んだApacheと組み合わせることで新プロトコルを試すことができる。

]FIG]


[FIG(quote)[
[FIGCAPTION[
[14] [CITE@en[AIST RCIS: WEBrick server]]
([TIME[2017-04-24 20:31:18 +09:00]])
<https://www.rcis.aist.go.jp/special/MutualAuth/software/WEBrick/index-en.html>
]FIGCAPTION]

> This is an WEBrick implementation of Mutual authentication protocol.

]FIG]


[FIG(quote)[
[FIGCAPTION[
[16] [CITE[A PAKE – SRP6 BROWSER EXTENSION]]
(Alexandru Gavril Bardas [TIME[2017-04-24 20:53:40 +09:00]])
<ftp://ftp.repec.org/opt/ReDIF/RePEc/rau/jisomg/WI12/JISOM-WI12-A2.pdf>
]FIGCAPTION]

> Oiwa et. all address the drawbacks of TLS-SRP and propose to implement PAKE at the
> application layer, over HTTPS. Similar to Engler et all, I will refer to this approach as
> HTTPS-PAKE.

]FIG]


[17] [CITE@en[532127 - Implementation Proposal for Mutual HTTP authentication protocol]]
([TIME[2017-04-24 20:58:45 +09:00]])
<https://bugzilla.mozilla.org/show_bug.cgi?id=532127>

>>17 2016年に WONTFIX

[FIG(quote)[
[FIGCAPTION[
[18] [CITE@ja[Yahoo! JAPAN - プレスリリース]]
([TIME[2017-04-24 21:02:01 +09:00]])
<https://about.yahoo.co.jp/pr/release/2008/0422a.html>
]FIGCAPTION]

> 2008年4月22日 
> 独立行政法人 産業技術総合研究所
> ヤフー株式会社
> パスワード相互認証プロトコルの技術評価用ソフトウェアを公開
> ―抜本的なフィッシング詐欺防止技術の実用化に向けて―

]FIG]


[20] [CITE[Part 1: HTTP Mutual auth]]
(Yutaka OIWA 7 November 2012 HTTPAUTH, IETF 85 [TIME[2015-03-27 23:20:34 +09:00]])
<https://staff.aist.go.jp/y.oiwa/publications/IETF85-HTTPAUTH-oiwa.pdf>

[21] [CITE@en[draft-irtf-cfrg-augpake-08 - Augmented Password-Authenticated Key Exchange (AugPAKE)]]
([TIME[2017-11-13 15:11:53 +09:00]])
<https://tools.ietf.org/html/draft-irtf-cfrg-augpake-08>