SSL Zertifikaten die man nicht selbst ausgestellt hat kann man grundsätzlich

nicht trauen. Das ist auch nicht umbedingt notwendig.
Kritisch zu beurteilen ist hier keinesfalls die mangelnde Prüfung
sondern einzig die Erstellung der Schlüssel/Antrag Kombination.
Der Schlüssel sollte nicht bei der Zertifizierungsstelle erstellt
werden, da dies in der Tat die Verschlüsselung kompromitieren kann.

Das die Firma Hinz und Kunz ein Zertifikat ohne Prüfung ausstellt
ist hingegen völlig irrelavant. Für die Verschlüsselung taugen sie
allemal und zur Identifizierung haben sie noch nie getaugt.
Dies setzt nämlich voraus, daß man der CA uneingeschränkt vertrauen
kann.
Vertraut hier irgendjemand VeriSign und Co. uneingeschränkt?
Falls ja, dann möchte ich noch mal kurz in Erinnerung rufen,
wesshalb da ein paar Zertifikate von Mircosoft im Revoked Bereich
des Explorer liegen :)
Zertifikate zur Identifizierung sollte man nur dann einsetzen, wenn
man selbst eine CA betreibt. Ansonsten ist die eigene Sicherheit
abhängig von der Sicherheit und Qualität mit der die beauftragte
CA arbeitet. Und da steht Verisign keinen Deut besser da als diese
Klitsche.