Менял тут на ufm.su ключи (спасибо WoSign и хрому за наше счастье) и пришёл к выводу, что это всё профанация. Не то что бы это было "тайное знание", просто никогда на эту тему не задумывался.
Что мы имеем на текущий момент.
1. Кучу корневых центров, которым мы должны доверять. Причём гарантированно известно, что доверять некоторым из них нельзя (например тому-же WoSign или еще некоторым, про которые известно, что они аффелированы с государством).
2. Софт, который на своё усмотрение доверяет или не доверят корневым центрам (тот-же гугл сказал, что "нам всё похер и мы не будем доверять сертикифатам WoSign" а тот-же Микрософт сказал "нам всё пофиг - мы будем им доверять").
Т.е. мы имеем в результате видимость защиты. И что самое печальное - простого способа сделать нецентрализованную, простую и удобную систему нет. Печаль.