Miért ne?
Meg tudod mondani fejből, hogy ki állítja ki a bankodnak a certeket? Ha igen: mennyivel jobban garantálja az a kiállító, hogy tényleg a bankoddal beszélgetsz?
Ha egy 3rd party CA-t megtörnek és annak a nevével kiállítanak egy érvényes, és a böngésződ által elfogadott certet a bankod nevére, akkor ugyanúgy nem tudsz ellene védekezni, akár a Symantec állítja ki (igen, ránéztem, hogy az én bankom mit használ :) ), akár a LE.
Ami viszonylag stabilan tudna skálázódni ekkora méretre és használható az lenne, az kb. az, hogy HSTS, kötelező key pinning HTTPS felett, DNSSec-el biztosítva publikálod a publikus kulcsot a DNS-ben (*), és úgy használod a certet. Így hosszabb időre, több, független, kriptoval alátámasztott csatornát kéne egy MITM-hez törni...
(*): DANE, ez az, ezt kerestem... sajnos a böngészők csak extensionökkel támogatják.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)