¿Cuáles son los riesgos asociados con confiar en el SSL mutuo y el filtrado de IP?

Entonces, suponiendo que con "SSL mutuo" quiere decir que cada extremo de la conexión generará un conjunto de certificados SSL y luego validarán los certificados de los demás cuando se establezca la conexión, los problemas como la falsificación de IP no deberían ser una preocupación , como si un atacante pudiera falsificar la dirección IP (que en realidad no es un compromiso trivial para una conexión TCP) no podría completar el protocolo de enlace de SSL ya que carecería de las claves privadas de SSL que coinciden con los certificados que posee el otro extremo.

Algunas cosas en las que puedo pensar que debería tener en cuenta con esta configuración

• Comunicación inicial de los certificados para cada extremo de la conexión. Debe asegurarse de que no se manipulen en tránsito.
• Configuración de las suites de cifrado SSL en cada extremo de la conexión. Querrá configurar los servidores en ambos extremos de la conexión para garantizar que no admitan sistemas de cifrado débiles o protocolos obsoletos (algunas ideas para servidores web here )
• Deberá asegurarse de contar con políticas vigentes para revocar / volver a emitir certificados cuando caduquen o si existe una violación de la seguridad de uno de los servidores.