Изучаю вопрос замены запроса логин/пароль при авторизации на странице php с логин/пароль на запрос сертификата. Насколько я понимаю, после того, как httpd принял сертификат пользователя, можно в полной мере доверять переменным $_SERVER[SSL_CLIENT_*], полученным от сертификата? Ну там [SSL_CLIENT_S_DN_CN] в качестве username, [SSL_CLIENT_I_DN_Email] в качестве email и прочее (там уж по желанию).

Ошибиться нельзя, т.к. в данном случае я не просто разрешаю/отклоняю доступ к какой-то директории на сервере, а пускаю пользователя на основании данных от его сертификата к его переписке.

Я правильно понимаю, что эти переменные ($_SERVER[SSL_CLIENT_*]) подделать нельзя, они устанавливаются только если сервер признал сертификат пользователя?