Was ich nicht verstehe: Wenn der Server das Client-Zertifikat selbst ausliefert, ist das dann nicht eine dicke Sicherheitslücke? Müsste man das nicht vielmehr mit seinem Setup mitliefern?
Es handelt sich nicht um ein Client-Zertifikat, es ist ja global für den Server hinterlegt.
Alle Serverzertifikate (signiert oder nicht) werden vom Webserver automatisch an den HTTP(S) Client ausgeliefert. Sie müssen ja vom Client stets kontrolliert werden, da sie AFAIK auch zurückgezogen werden können.