A szalmabábot te hozod létre azzal, hogy összemosod az ingyen cert lehetőségét azzal, hogy megszűnt az EV certek külön kiemelése a böngészőbe, aztán kárhoztatod, hogy mindenki kaphat certet.
Ezt nem én mostam össze, hanem konkrétan ezért történt, azzal együtt került ki, hogy megjelent az ingyenes DV cert a piacon, a Google pedig egyszerűen kivezette, ezzel az összes chromium alapú böngészőből elűnt a megkülönböztetés. Ez egy összefüggő lépés volt.
Mindenesetre mivel egy csomó oldal jelenleg is dinamikus, és ennek az ilyen módú integritás-ellenőrzését te sem tartod jónak, ezzel már sikeresen kivettük a létező site-ok nagy részét a kalapból, nem látom különösebb értelmét a csak statikus oldalara behozni egy teljesen más megoldást.
Mondj már pár ilyen dinamikus oldalt, mert jelenleg pár legacy szart leszámítva a weboldalak jelentős része statikus tartalmat tölt le CDN-ből, és REST-en kap JSON-t, ami megmondja, hogy a kliens oldalon mit építsen fel a statikus JS, CSS és egyéb resource halmazból.
Ahogy az aláírás-szerű ellenőrzést sem, ha te annak tartod, lelked rajta, de akkor itt megálltunk.
Még mindig nem kaptam választ arra az egyszerű kérdésre, hogy minek titkosítani statikus és publikus tartalmat, pláne mi az értelme, ha egyébként integritást nem is ellenőrzünk.