А в чем бага, я не понял? Написано же в документации:
optional: the client may present a valid Certificate Клиент может предъявить действительный сертификат.
Может, но не обязан!
И дальше по тексту:
because level optional doesn't work with all browsers and level optional_no_ca is actually against the idea of authentication (but can be used to establish SSL test pages)