Egy dolgot sajnálok fejlesztőként: egyedül a StartSSL adott lehetőséget arra - elérhető árban -, hogy kézzel összerakott, több wildcardot is tartalmazó, univerzális certeket lehessen generálni. Ez sok felhasználós, meg oktatási jellegű szerverparkokon nagyon kézre állt, igazából nem is tudom hogyan fogjuk megoldani hogy https alatt ezres nagyságrendű aldomaineket ki tudjunk szolgálni több eltérő fődomain alatt. Valószínűleg az egyetlen megoldás az a külön-külön wildcard cert lesz minden szolgáltatáshoz (fődomainhez), és vagy az SNI-t elvárjuk vagy az IP-kel bűvészkedünk.
Felhasználóként ugyanakkor tökéletesen megértem és támogatom hogy a nem átlátható CA-knak mennie kell, jó lenne ha ez nem egyedi eset hanem általános elvárás lenne, nem csak a mozillánál.