Érdekes felvetés. Az ugye tiszta sor, hogy a csalioldal nem banki oldal, csak annak látszik. Tehát minden további nélkül lehet rá akár egy DV certet is kérni. A requestben csak egy DNS név van, semmi más, tehát certificate megvan. Akkor is, ha valós bankoknak csak az MNB adna ki certet (mi van a külföldi bankokkal?).
A böngésző meg annyit tud, hogy megadtak neki egy URL-t, az hogy emögött mi van, bank, vagy pornó vagy bármimás, honnan tudná?
Volt itt a példában egy mbhbauk.nu nevű csali domain, honnan tudja a böngésző, hogy ez egy bank honlapjához hasonlító bármi?