оцените PKI схему на базе OpenSSL

Оцените плз такую PKI схему на базе OpenSSL, а то меня как дилетанта гложут сомнения.

Есть центральный сервер (ЦС) и некоторое множество клиентов (К).

Для подключения к ЦС клиент выполняет следующие операции:
– генерирует self-signed CA
– генерирует x.509 сертификат подписанный self-signed CA
– отсылает публичный ключ CA на сервер по небезопасному каналу

ЦС получает ключ и вносит CA в trusted CA store. Любой клиент, чей сертификат будет подписан данным CA будет успешно аутентифицирован.

Аналогичная схема применяется для аутентификации ЦС клиентом: клиент получает публичный ключ CA сервера и затем проверяет, что сертификат ЦС подписан данным CA.

Насколько я понимаю, даже если публичный ключ CA будет скомпрометирован, это не даст возможности злоумышленнику создать сертификат подписанный таким CA.

И еще, насчет man-in-the-middle attacks. Википедиа говорит(*) следующее: "With the exception of the Interlock Protocol, all cryptographic systems secure against MITM attacks require an additional exchange or transmission of some information over some kind of secure channel. Many key agreement methods with different security requirements for the secure channel have been developed."

У меня же безопасный канал не предполагается. Я понимаю, что википедиа может и не авторитет, но объясните популярно кто из нас не прав.

(*) – http://en.wikipedia.org/wiki/Man_in_the_middle_attack