PKIってのはあくまでインフラなんで運用によって意味があるのかないのかが決まってしまうもののはず。
また、証明書が証明してくれるのはその通信とか、メールとかが証明書が発行された本人から出されたものですということでしかない。
だから、メールを出した本人とか、通信相手が送信してくる情報が信頼できるかできないかを保障するものではない。というわけなので実はSSLで通信しているからこのサイトは本物だというのはちゃうんです。

PKIの仕組み上認証局が本当は証明書を発行する相手を吟味して発行して問題ないかというのを判断しないといけないんだけど、実際はそんなことが出来ない。
フィッシングサイトを立てる人がSSLの証明書をVerisign等の認証局に対して発酵依頼をかけることが可能だし、その人がフィッシングサイトを立てないということを確認することは認証局には難しい。ま、似たドメインだったりすると怪しいと判断できるけど、本物が略称を使ってたり（この間のSKUFで出たけど）、わけのわからないものを使っているとフィッシングサイトのドメインなんて簡単に取れるし。
そうなると認証局では判断がつかないのですよ。

また、いくらルート証明書の認証局が非常に厳しい審査基準であっても、下位の認証局がゆるゆるだったりすると、これまたそのツリーの証明書自体が信頼できなくなってしまう。現実に証明書を発行する場合は発行先が実在しているということしか見てないので、実はあまり信頼できなかったりする。
しかも、認証局も過当競争に入っているので、なるべく手間を減らして安くという方向に走ってたりして、フィッシングサイトを立てる側からすれば非常にうれしい事態になってるんですな。
で、フィッシングサイトに正規の証明書が使われたというのが出てくると、そろそろそういう時期に入ってきてるような。

これを何とかするには、PKIの運用をもう一度考え直さないといけないんだけど、儲けがないとビジネスにならないから難しい。
何とかなんないかなぁ？