Problém vidím zejména v tom, že uživatel si nemůže v prohlížeči (a dalším software) definovat, že této CA důvěřuje pro definované domény (například: skola.cz).
Považuji za velký nedostatek, že tohle není možné. Osobně bych nejraději všechny CA z prohlížeče vyházel a nechal tam jen ty, kterým důvěřuji a pro jaké domény.