Zwischenzertifizierungsstellen sind inzwischen ja sehr in Mode gekommen, so dass im Grunde eine unübersehbare Anzahl von Firmen gültige Zertifikate ausstellen kann.
Sicherheit lässt sich so nicht gewährleisten.
Wir brauchen DANE direkt im Browser, denn dann prüft der selbst, ob das Zertifikat für eine Website wirklich korrekt ist, weil der Betreiber festlegt, welches das korrekte ist.
Aber DANE dürfen US-Firmen und Organisationen nicht implementieren, habe ich den Verdacht.
Was so ein NSL von der NSA doch alles bewirken kann...