>> если уж хотите глобального_и_радикального решения проблемы.
>> то нужно запретить HTTP-протокол , и разрешить только HTTPS (с обязательной проверкой
>> сертификата по DANE (DNS-based Authentication of Named Entities)).
> ...после чего соотв. ауторити просто начнут выписку левых сертов и вся эта
> фигня пойдет лесом, как обычно.ды ауторити пусть хоть обвыписываются своими левыми сертифкатами, но всё равно это не будет иметь приоритета перед DANE.
в случае если есть хотя бы ОДНА ошибка в двух проверках (DANE или ауторити) -- сайт уже считается скомпрометированным и НЕ будет открыватсья в www-браузере.
(так написанно на wiki-страничке от Мозилки)