SSL для авторизации - можно так?
 

Привет, форумчане!

Меня посетила шальная мысль, ради эксперимента сделать авторизацию клиента на сервере по SSL. План такой:

1. клиент заранее имеет свои личные сертификаты SSL (ключ только у этого клиента), и, возможно, короткий пароль.
2. клиент ломится на сервер, пытается установить шифрованное соединение SSL.
3. сервер узнаёт один из клиентских сертификатов и позволяет установить соединение
4. по установленному шифрованному соединению клиент передаёт короткий пароль в открытом виде, либо его хеш (со степенью паранойи я ещё не определился)
5. если всё совпало, пользуемся установленным соединением

смущает пункт может ли SSL при хендшейке выбрать один подходящий сертификат из списка (и запомнить, какой выбран)? или это нереализуемо/нецелесообразно?
Если нецелесообразно, то какие есть для этого варианты подобной авторизации (когда каждый клиент имеет свой уникальный ключ шифрования)?

А сертификат какой? Только электронный?
Просто подобное реализовано на u-token'ах, с выбором сертификата.

Только электронный сертификат.

В общем, решил не выдумывать и делать авторизацию внутри SSL.