Ich will auch nicht IP Bereiche freigeben, weil das Schlupflöcher entstehen lässt. Ein Passwortschutz alleine kommt auch nicht in Frage, weil das Passwort weitergegeben werden kann.

Da behaupte ich mal ganz blöd, daß ein HTTP-Passwortschutz deutlich sinnvoller ist als eine Prüfung des DNS-Alias. Auch der Alias ist schließlich über ein Passwort gesichert. Und IP-Adressen lassen sich auch fälschen.

Japp, du willst eindeutig Client-Zertifikate. Auf Smartcards.

Aha. Und Smartcards lassen sich nicht weitergeben?

Eine absolute Identifikation ist sowieso nicht gewährleistet, solange man den Personalausweis nicht persönlich prüfen kann. Und schlimmer: Die Umstände für die Nutzer steigen bei weitem nicht in gleichem Maße wie der technologische Aufwand für die Identifikation.
Die Weitergabe von Zugangsdaten, egal ob Passwort oder Smartcard, kann davon abgesehen unterbunden werden, wenn mit dem Passwort entweder eine Identität oder der Geldbeutel des Nutzers verbunden ist.

Warum soll denn diese große Sicherheit geboten sein?

Gruß,
  soenk.e