Valóban vannak az ökoszisztémának gyenge pontjai (a CRL-t még hozzátenném), de látni kell a mitigation-öket is, mint pl. a HSTS vagy az OCSP stapling.
Szerintem olyan nincs, hogy magát a https-t megtörték. Legfeljebb az SSL/TLS valamelyik verzióját, vagy valamelyik implementációt (PRNG körüli balhék szoktak lenni, esetleg valamilyen side channel attack).
Az igaz, hogy egy szar szerveroldali konfig simán lehetőséget nyújthat erre. De ez nem általános és nem törvényszerű.
A Let's Encrypt sima domain validation cert-et ad, ami nyilván nem nyújt olyan védelmet MITM ellen, mint egy EV cert (amit nem adhat ki gyakorlatilag bárki). De itt már valamilyen attack-re legalább szükség van a hostod ellen, hogy megvalósuljon a MITM.
Valójában teljesen mindegy, hogy mit gondolunk mi erről. Gyakorlatilag alig lehet már megnyitni sima http-t mainstream böngészőből és akkor is villognak a warning-ok. És ez valószínűleg nem javulni fog. Pagerank is lejjebb sorolja az oldalad, büntetik mindenhol, ahol csak lehet. Szép fokozatosan szorul a hurok.