A valós kérdés szerintem az, hogy miként járnál utána, mit tekintesz valós, megbízható támpontnak?
Jelenleg ami első lépésként megoldható lenne, hogy a böngésző megjegyzi az aláíró CA-t, ha az változik, akkor figyelmeztet. Ez nem oldja meg, de csökkenti azon esetek számát, amikor felmerülhet valami esemény.
Esetleg DNS-ben (vagy más nyilvántartásban) egy bejegyzés, ami tartalmazza az adott címhez tartozó CA lenyomatát?
Esetleg kiterjeszteni a protokollt, hogy akár 2 CA aláírása is szükséges legyen az elfogadáshoz, ebben a címtárban tárolni ezen CA-k lenyomatát?
EU szinten a DNS jelentős védelmet fog kapni a következő években, így nem zárnék ki hasonló lehetőséget.