A response headerben lévő információval az a probléma, hogy ez csak akkor lesz olvasható, ha a certificate ellenőrzése már megvolt. Tehát egyszer a böngésző ellenőrzi a tanúsítványt, hogy egyáltalán létrejöhessen a kapcsolat, majd ha ez létrejött, olvassa el a headert is, és ellenőrizze a CA-t.
Ezt nyilván nem lehet lokálisan megtenni, valami globális szabványt, RFC-t kéne rá alkotni, és átírni a böngészőket ennek megfelelően. Tegyük fel, hogy ez megvan. Na most mi akadályozza meg a csalioldalt, hogy ugyanúgy nézzen ki, mint a banki oldal (ahogy ez most is van), és ne tegye be a bankra utaló headert?
Kicsit arra emlékeztet ez a dolog, mint a 2003-ban megjelent 3514 sz. RFC: https://www.ietf.org/rfc/rfc3514.txt Megjelenési dátum: április 1.