Já myslím, že jsem ve skutečnosti uváděl na pravou míru to, jak reálně certifikační autority validují vlastnictví domény. Nereálné představy, jak si teoreticky ohlídáte všechny e-maily, přes které je možné validovat doménu, jste tu psal vy.
No a jsme na začátku: DV certifikát je bezcenný: nic nezaručuje, jen si prostě "zašifrujeme" (co tedy "certifikuje", heh?). OV certifikát nedává smysl - není viditelný rozdíl od DV certifikátu, aspoň z pohledu koncového uživatele ne. EV certifikáty lidi taktéž nevnímají. Kdyby měla banka jeden den EV certifikát a druhý den jen DV, dovolím si tvrdit, že jen nepatrný zlomeček zákazníků by se obrátil na banku, jestli je to v pořádku.
Celý účel certifikátů, aby byly jen od toho že "jen budeme šifrovat" je uhozený. K tomu, abychom jen šifrovali, nepotřebujeme certifikovat. Pokud něco slovo "certifikace" znamená, tak to, že je někým ověřená nějaká skutečnost. U EV certifikátů je toho celý seznam, u OV certifikátů se ověřuje totožnost subjektu (a osoby, která jej zastupuje). U DV certifikátů je účelem ověřit, že se dostal do ruky toho, kdo má právo k doméně.
A jsme u toho, co to znamená "právo k doméně". Pokud to vyložíme extenzivně, můžeme dojít k tomu, že by se měl vystavit certifikát komukoliv kdo má na doméně e-mail. ...Takže hledáme méně extenzivní způsob, jak ověřovat oprávněnost osoby a její spojitost s doménou.
Teď jde jen o to, jestli už dnes nejdeme moc vstříc tomu, aby DV certifikát získal kde kdo, třeba jen v důsledku chyby nějakého nastavení, nebo v důsledku toho, že už ve firmách nelze pohlídat přístup k e-mailům. Kdyby to nešlo uhlídat, jak píšete, lítaly by tu miliony certifikátů @seznam.cz, @gmail.com a dalších. Tyto firmy si naopak musí pohlídat všechny e-maily, přes které je možné certifikát získat.