Ich verstehe nicht so recht auf was du hinaus willst. Natürlich sind die Zertifikate im Client. Ebenso überprüft der Browser, ob ein valides Zertifikat vorliegt, wenn der Webclient aufgerufen wird. Und die Zertifikatprüfung muss natürlich sowohl beim Client als auch beim Browser bei jedem Verbindungsaufbau zum Server gemacht werden.
Der einzige Unterschied, den ich erkennen kann, ist, dass man als Angreifer dem Browser ein scheinbar valides Zertifikat unterjubelt. Dagegen gibt es allerdings auch Techniken: https://de.wikipedia.org/wiki/HTTP_Public_Key_Pinning
Vertraut man HTTPS im Browser nicht, dürfte man streng genommen auch kein Webmail, Online-Banking oder Online-Shopping im Browser nutzen.
[hr]
Erschwert die Authentifizierung über den QR-Code MITM-Attacke nicht extrem. Man stellt ja somit sicher, dass man mit dem richtigem Kommuniziert. Eine Attacke wäre zumindest sehr kompliziert.
Es geht darum, dass dir ein Angreifer eine gefälschte Webclient-Seite unterjubelt. Dadurch könnte er alle Eingaben abfangen.