Jenže generování privátních klíčů v prohlížeči (o které jsem mluvil) není žádná online aplikace. Privátní klíč se objeví v certificate store a prohlížeč opustit nemůže.
Ano, až budete ten klíč chtít _použít_ (přihlásit se, něco podepsat atd.), tak samozřejmě musíte sledovat, na které stránce jste a jak je identita ověřena. Abyste náhodou nepodepsal něco jiného než jste chtěl. Ale to je něco jiného než vygenerování klíče a prohlížeč se vás na to zvlášť zeptá.