> Az EU is elismeri hogy a HTTPS by design hibás.
Ez az állásfoglalás csak arról szól, hogy a jelenlegi PKI bizalmi forrása silány minőségű, és ebben azt hiszem mind egyet is értünk.
> A valós biztonsági igény valóban ilyen biztonság lenne.
Ez csak a te vaskalapos véleményed.
A valóság ezzel szemben az, hogy engem pl. teljesen hidegen hagy hogy a valódi Google, GitHub, Facebook Inc-el beszélek-e, mert ez semmilyen garanciát nem jelent számomra. Ha valami gondom van velük, esélyem sincs az én erőforrásaimmal jogilag érvényesíteni. A biztonságot nekem az adja, hogy ha sokezer emberrel szemben korrektül járnak el, akkor valószínűleg velem is úgy fognak. És ezt történetesen remekül lehetne in-band ellenőrizni. Az más kérdés, hogy a jelenlegi PKI rendszer valóban nem ezt teszi.