"Prohlizec bohuzel dnes sam nedokaze jednoduse odlisit, kdy je self-signed certifikat zamerne (z vule administratora) a vse je v poradku a kdy je skutecne podstrcen."
Dokáže velmi jednoduše. Prostě jej má v seznamu důvěryhodných certifikátů, kam jej uživatel nainstaluje ve chvíli, kdy se ujistí, že ten veřejný klíč skutečně sedí s veřejným klíčem serveru, kam se chtěl připojit.
To, že to uživatelé nedělají a odklikávají něco v rozporu se zásady bezpečnosti, je věc jiná.