Zde musim s @hugochaves souhlasit:
soucasne pouziti PKI je takove, ze kterakoli autorita ti smi vystavit certifikat, vcetne WoSignu, Diginotary, Symantecu a dalsich. A ty v defaultu neoverujes ktera autorita to byla. A pokud budes pro konkretni oblasti vyzadovat konkretni autority (jako treba v DNSSEC je tvoji "autoritou" spravce domeny), tak je pak PKI jaksi principielne zbytecne. PKI je rozhodne lepsi nez, nic. Na druhou stranu mi pripada, ze o proti tomu, ceho bychom chteli dosahnout, je to skoro nic. Castecne je to take dano, tim ze je PKI preuzivane. To je stejne jako s Captcha. Ta uz take funguje spatne, mimo jine i proto, ze je velmi casto vkladana na mista kde by vubec potreba nebyla, a tim je vyrazne vyssi tlak na jeji obejiti.