[offtopic] клиентские SSL-сертификаты

[Vladislav Shabanov]

Добрый день.

Возник вопрос, ответа на который простым поиском найти не удалось. 

Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты для сотрудников. Такой сайт любому зашедшему браузеру сообщает, что принимает сертификаты, выданные организацией ZZZ. Если это сотрудник, то он сможет передать сертификат, сайт сможет его проверить, принять решение и т. д. Если нет, то будет выдана какая-то страница «в доступе отказано».

Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт DEF так, чтобы во время SSL handshake тот тоже сообщал всем браузерам, что принимает сертификаты организации с названием ZZZ. Правильно ли я понимаю, что сотрудники компании ZZZ после этого уже никогда не смогут посещать сайт DEF анонимно? Браузер ведь будет тупо выдавать единственный установленный сертификат, у которого имя организации совпало?

С уважением,
	Влад