Ez így szerintem nem igaz (most csak pure mTLS-ről beszélek, nem arról, amikor FIDO-val van körülbástyázva). Ha a fake weboldal "kér" kliens cert-et, ráadásul úgy, hogy azt mondja, hogy ugyanazon CA által aláírtakat kéri, mint az igazi weboldal, akkor a gyanútlan user rákattinhat arra a browserében, hogy oké authentikál a fake weboldalhoz is a kliens certjével. De továbbra is azt gondolom, hogy ezzel nem tud igazán mit kezdeni a fake weboldal.