Ну... Эээ... если что - SSL\TLS _в принципе_ не имеет никакого отношения к "анонимности" в интернете, он тащем-та про другое. Беда в том, что это самое "другое" он тоже не обеспечивает.
И да, автор новости изрядно рукожоп - в предустановке сертификата самого по себе криминального не очень, чтобы очень - этим тащем-та, все занимаются - от производителей ОС до разработчиков браузера, а вот закрытый ключ прилагать - это разве что какой-нибудь http://www.theregister.co.uk/2015/09/18/d_link_code_signing_key_leak/ может.
Ну и да, проблема с тем, что любой CA может выписать сертификат на любой сервер и он таки пройдет все проверки уже окостыливается с помощью http public key pinning'а со стороны браузера и DANE уровнем ниже. И то, и другое выходит не очень хорошо (ЕМНИП, pinning захардкоден в браузерах для конкретных сайтов, а DNSSEC поддерживают не все резолверы, не все зоны подписаны и вообще DANE статус стандарта не имеет) - примерно как с DKIM\SPF\Sender ID, но народ работает.

Радостные пользователи крипто-про уже получают подобную закладку, это я не говорю про корневые сертификаты русских центров сертификации, которые необходимо добавить для работы отечественных ЭЦП. А это аудитория тех, кто работает с торговыми площадками и порталом гос-услуг.

Ghost Shadow,
Эээээ... а грязных подробностей можно?

Прошу прощения, про крипто-про я, все же, нагнал, центры сертификации он не добавляет. Однако, остальное в силе.

Ghost Shadow,
\Рукалицо\ "Остальное", это извиняюсь, что? Добавление российских центров сертификации для работы с ресурсами, защищенными выписанными этими CA сертификатами?
Не, есть конечно альтернатива... Выпустить Государственный Браузер для доступа к Государственным Ресурсам и захардкодить туда открытые ключи сайтов, в этом случае даже сертификаты не нужны, да. Правда при компроментации какой-нито почтыросиии придется браузер перевыпускать - но эт мелочи, главное бизопастность! Еще можно хеши ресурсов в газетах печатать, пусть пользователи глазами сравнивают, не изменилось ли чего при каждом новом входе, открываешь утром газетку и идешь в сбербанк.онлайн - зашибись идея, пойду стартап мутить!

Ну вот работает так x509 - распределенная сеть доверия в которой by design (почти) невозможно установить градации-и-границы этого самого доверия. Доверяешь CA - доверяешь всем (неотозванным) сертификатам этого центра. Если производитель программного продукта Х доверяет центру сертификации (После соответствующего аудита, удостоверяющего выполнение списка требований-и-правил толщиной пальца в три) - он добавляет его в список "доверенных" и тебя не спрашивает. Не нравится - не пользуйся или веди этот список ручками.
Ну да, в жизни с этим !внизапна! возникают проблемы - то какой-нибудь центр сертификации subordinate ca для DLP-оборудования Ну Очень Корпоративных Клиентов выпишет, то какой рукожоп закрытый ключ забудет то Большой Брат нос сунет - вот и пытается народ окостыливать опасные места. Достаточно давно уже пытается. Что-то даже уже выходит.

-=Shaman=-, как бы ни один из ресурсов в плане https не защищен сертификатами, выпущенными нашими СА. Просто потому что СА реально дофига и добавлять все штук 50 корневых каждый год ни один пользователь не способен. Список то этих СА еще найти надо, вместе с этими корневыми. Используются они для подписи самих сообщений. Однако, все это не мешает выпустить кому-то левый сертификат под vk.com и слушать трафик провайдером или провести MITM атаку на конкретных людей. Если такое провернет какой-нибудь GeoTrust, то это убьет его бизнес, потому что уже через неделю все браузеры обновятся и его корневой из них выпилят, на наши СА всем глубоко пофиг. Вот если бы они использовали кросс-сертификацию, то их бы сертификаты отозвали.