Emitir certificados SSL de clientes para o servidor MySQL para clientes - isso é seguro?

Resposta curta: sim.

Resposta mais longa: sim, porque os dois pares de chaves de cliente e servidor estão envolvidos na troca das chaves de sessão nonce que protegem uma determinada transação. Se o cliente B obtiver uma sessão completa de texto cifrado entre o cliente A e o servidor, ela poderá descriptografar isso se tiver a chave privada do servidor ou a chave privada do cliente A. Mas o cliente B tem apenas sua própria chave privada e a chave pública do servidor; isso não ajudará a descriptografar as transações do cliente A com o servidor.

Pelo que entendi, a conexão SSL / TLS do servidor é suficiente para evitar interceptação. Um certificado de cliente não fornece criptografia adicional (exceto talvez durante o handshake) para autenticar o cliente.

Se você tem um certificado de cliente ou não, o cliente e o navegador se comunicam usando o nível mais alto de criptografia que ambos suportam. O certificado do cliente simplesmente garante que o cliente é quem diz ser.

Tudo bem que o servidor MySQL use o mesmo certificado TLS / SSL para se comunicar com todos os clientes, porque ele terá um handshake diferente para cada um. Assim como em um servidor da Web, você pode se comunicar com vários clientes usando o mesmo certificado.