Mert valójában két CA világ van, amely bár technikailag ugyanúgy tanúsítványokkal dolgozik, de valójában teljesen máshogy működik.
Az SSL tanúsítványt alapvetően arra használod hogy titkosított kapcsolat jöjjön létre az ügyfél és a szervered között. Tanúsítványt pedig úgy adnak neked hogy igazolod hogy a szerver a tiéd (pl. azzal hogy feltöltesz egy a kiadó által generált fájlt). Itt nem történik személyazonosítás, se semmi, tehát ha a gonosz hacker megveszi a az-igazi-otp.hu oldalt, akkor ő erre szó nélkül fog kapni tanúsítványt, amit a böngészőben zöldként látott a felhasználó, de ez valójában csak azt jelenti hogy a kapcsolata titkosított.
Az SSL tanúsítványok azért működnek a böngészőben, mert a root cert-et belerakják, és ahhoz hogy ez ott maradjon egy csomó követelménynek kell megfelelni amit a böngésző készítő nagy cégek határoztak meg - innen ered az egyik kolléga megjegyzése, hogy ez egy gittegylet. Valójában igen, a piaci erőfölényüket kihasználva ők mondják meg hogy ők kiben biznak meg és kiben nem, és igazából mi alapján döntenek, hogyan, és miért, mi a valódi folyamat, mi a jogorvoslat, az finoman fogalmazva sem transzparens.
Az elektronikus aláírás esetében viszont van egy európai szabályozás, ez az EIDAS. Ez egy EU-s törvényekkel és azoknak a helyi jogrendbe való beemelésével működik. Az igy létrejött aláíróképességet arra lehet használni hogy dokumentumokat (vagy egyéb elektronikus dolgokat) irj alá, és ennek az aláírásnak joghatása lesz. Tehát adhatsz/vehetsz dolgokat, aláírhatsz vele munkaszerződést, meg amit szeretnél. Ez egy nagyon transzparensen szabályozott történet, ott vannak a törvények/jogszabályok, ott vannak a szabványok, az audit követelmények, le van definiálva minden, világos, és transzparens.
A kettő között van valahol amiről te is beszélsz: hogyan igazolja magát egy weboldal, hogy ő tényleg az, akinek mondja magát, és nem csak egy "klón".
A válasz az, hogy jelenleg sehogy.