reden te meer om alleen via SSL / TLS data uit te wisselen.

De betere websites gebruiken deze technieken al voor het
inloggen op basis van username en password. Daarnaast komen
er ook steeds meer mail servers die bereikbaar zijn via SSL
/TLS voor zowel het versturen als het ontvangen van mail.

Mijn mail pakket is zoiezo ingesteld om alleen op basis van
beveiligde verbindingen data te versturen en te ontvangen.

De betaalhotspots moeten zoiezo een aanlog mechanismen
hebben op basis van SSL/TLS. If not..... tsja ... in dat
soort gevallen vraag je ook zelf om problemen.

Iedere keer via SSL/TLS inloggen is toch een beetje
onhandig. Misschien is 802.1x een oplossing, met
authenticatie via EAP-TLS, PEAP of EAP-TTLS.

Een dikke IPSEC verbinding over die WiFi, welke de
access-point kan authenticeren aan de hand van SSL
certificaten lijkt me een goede oplossing voor dit probleem.

Dat SSL / TLS verhaal was bedoelt voor de websites die je
bezoekt tijdens je surf acties. Het authenticeren op een
accesspoint / hotspot moet zoiezo gebruik gemaakt worden van
betere authenticatie vorm.

Daar is overigens wel een mogelijk probleem mee. De normale
windows client moet ingesteld worden welke CA het ssl / tls
certificaat leverd. Dit is erg globaal. Wanneer de 'buurman'
ook een geldig SSL / TLS certificaat gebruikt (van
bijvoorbeeld Verisign), is het dus nog steeds mogelijk om op
het verkeerde accesspoint aan te loggen. De client kan
namelijk GEEN hostnaam zien van de authenticatie server. Dit
wordt namelijk afgevangen door het accesspoint. Het enige
wat de client doet is een vertrouwde CA instellen.

Een alternatie is om je eigen CA te creeeren en deze in de
client als vertrouwde CA instellen voor EAP/TLS. Nadeel is
dan weer dat er dus actief op de client zaken geinstalleerd
moeten worden.
In een bedrijfsnetwerk is dit niet zo'n probleem. In een
publieke infra moet je dit niet willen, omdat dit alleen
maar weer extra werk oproept.