Persze. A CT a fent már többször is emlegetett bármelyik CA bármit ki tud állítani problémára próbál valamilyen technikai megoldást hozni. Mert ugye technikailag egy CA olyan certet állít ki, amilyet csak akar, nincs szüksége semmi technikai proofra, hogy azt tőle akárki kérte. Szóval a példánál maradva, a nisz a "mindenkinnél" a trust storeban levő certtel nyugodtan aláírhatja a te kis endomainem.hu oldalaadhoz a certet. Ez után már "csak" bele kell állni a domained fele menő forgalomba, és azt csinál, amit akar. Bár NevemTeve odafent ezt ironikusan apróságnak nevezte, FYI ma az összes magyar szolgáltatónak szűrnie kell az állam szerint blokkolandó oldalakat a KHETA alapján, aminek az ajánlott kiépítése az, hogy routeold be a forgalmat állam bácsihoz, és majd ő DPIzik. (vajon ki üzemelteti :) )
Nyilván egy sima CAnak ennél kisebb játszótere van, de kontroll továbbra sincs felette. Ha van egy nagy, nyilvános adatbázis, ahol látszik az összes kiállított cert, akkor arra lehet reagálni. Te is tudod figyelni a saját érdekeltségeidet, illetve generikusan is lehet nézni azt, hogy nincsenek-e anomáliák pl valamelyik CAban. (Pl olyan certeket állít ki, amire valaki másnak még van bőven érvényes certje). A chrome pedig azért sipákol, ha nincs benne valami cert, hogy legyen kényszerítő erdő, hogy a CAk részt vegyenek ebben. Különben ugye lehet vállvonogatni, a user tudni se fog róla, az ügyfélnek a saját valódi CAjának basztatására nincs igazából szüksége, és ha még elvből basztatná is, hogy miért nincs, a CA még mindig mondhatja, hogy dehát ha más se csinálja, akkor neked no gain, és extra risk a publikussá tett infó.
Szóval az, hogy egy cert benne van a logban, az igazából közvetlenül nem állít semmit annak "jóságáról". Ha állambácsi beleírja a megkérdezésed nélkül kiállított certet a logba, akkor a chrome nem fog sipákolni. (Közvetve természetesen igen, azt, hogy a szolgáltató dolgai ott vannak, van esély belelátni a kiállító működésébe)
Mint látszik, ez alapvetően egy reaktív folyamat, és nyilván van hozzáadott értéke, cserébe lesz egy szép nagy, periodikusan frissülő adatbázis az interneten elérhető oldalakról, in detail a tieidről is, még ha nem is akarod (és azért lássuk be, a googlenek -- meg a többinek -- ez elég hasznos), tovább nehezedik saját trust domain kialakítani lokálisan anélkül, hogy belekevernéd ezt az egészet, akkor is, ha erre egyébként baromira nincs rá szükség, és ilyen félmegoldásokkal próbálja épp a saját működését kicsit jobbá tenni :) meg ilyesmi.