Как вы аутентифицируете клиента? SSL-сертификаты клиентов?
Вот что делает SSL в двух словах:
Обычно, когда вы используйте SSL, вы не будете использовать клиентские сертификаты. Строго говоря, сервер не знает, является ли соединение MITM'd. Однако большинство клиентов отключится, если сертификат сервера плох. Сервер предполагает, что если клиент нажимает на соединение с соединением, MITM отсутствует. Даже если Мэллори, выполняя MITM, предпочитает не распространять отключение от клиента, у него нет новой информации; все, что он сделал, связано с самим сервером. Без перехвата куки-файла сеанса клиента или другой информации аутентификации (которая отправляется клиентом только после проверки соединения) MITM бесполезен.
Итак, короче, если один конец или другой проверяет сертификат другого конца, прежде чем инициировать какую-либо высокоуровневую передачу конфиденциальной информации, SSL защищен в обоих направлениях.
Вы правы - без проверки подлинности сертификата на клиенте и сервере есть открытие для человека в средней атаке.
SSL может быть «безопасным в обоих направлениях», если вы используете взаимная аутентификация также называется двухсторонним SSL .