Tohle vidím stejně. Pokud chce někdo potvrdit, že je to opravdu on, ať si zaplatí ověřený certifikát a ať je to vidět. Pokud někomu ta investice přijde zbytečná, ať si vydá certifikát sám, podepíše mu ho registrátor domény a připíchne do DNS bez těch opičáren okolo. Řetězec důvery bude root server - správce TLD - registrátor - majitel webu. Takže dost velká jistota, že komunikuješ s tím, kdo má doménu registrovanou. Ochrana navíc (před únosem v DNS) je právě EV - další kanál autentizace, nezávislý na DNS.
Otázka, proč se to tak jednoduše nedělá. Že by si G a Mozilla nechali platit od CA desátek z toho, že bez CA se nikdo nikam nedostane?