Kdyby soudruzi v chrozille mysleli (tedy meli aspon pulu mozku) tak zrusej cely PKI ... a implementujou DANE. Nebylo by to sice dokonaly, ale by lo by to o 3 rady bezpecnejsi.
Kdyby meli aspon jednu mozkovou bunku, tak vyhodej vsechny tzv "duveryhodny" a upravej uloziste tak, ze cert/CA bude navazana na konkretni domeny na ktery si je user sam prida.