Ez sajnos akkor lenne így, ha a felhasználók valamennyire is tudatosak lennének. De amíg az átlag felhasználó MINDEN ilyen ablakot olvasás nélkül kattint le, addig baj, hogy ezek a CA-k nincsenek ott a gépen.
Saját CA-val ugyanis én is tudok egy olyan CA-t csinálni, aminek az a subject-je ami az államinak, az issuer nyilván ugyanaz lesz - hiszen self-signed! - és soha senki nem fogja tudni megmondani, hogy az az én CA-m vagy az államé, cserébe én bármikor tudok az állam nevében aláírni valamit - az, hogy az állam ezt nem fogjadja el, az meg már a user problémája. :D
És erről szól az OpenSSL alapú trust chain, a trusted root CA-k egyfajta tanúként igazolják azt, hogy az én Kukacország.hu tanusítványom az nem megbízható, a Kukacország kormánya által kiállított meg az.
A másik meg amit felvetettem: ha valaki közbeékelődik, akkor a user szívja meg. Ezért az a jó megoldás, ha a user nem szívja meg, ezt meg - a jelenlegi technológiákkal - csak a megbízható aláíróval lehet megoldani.
Érdemes átnézned a PKI-t meg hogy a tanusítványos Chain of Trust hogy működik pontosan.