PKIについては、まともな情報がない、というよりPKIに限った話ではないので、まぁ、出来上がった運用方式とかあれこれは、使う側からすれば何もわからないんだから、しっかりしていようがしていまいが、何も違わない、ブラウザのURLバーが黄色になろうが緑色になろうが、それの意味するところを発行者(CA)や作る側(秘密鍵と証明書もってるhttpならサーバのひと)ではなく使う側が知らなければ信頼性0なんですよね。だから、作る側がどれだけひどくてもかまわない。それはもともと安全な中にあるのだから、そうそう簡単に危険な方へ転ぶことはない。危険な世界では逆に、平気でPKIを知らない人がやるのと同じことが行われて、それに気づかない人が引っかかる。「使う側」がそういうひどいものを避けられるようになっていないと何の意味もない。だから、安全なものしかないと何が危険なのかわけがわからなくなる。
高木hiromitsuさは、そのあたりがわかっているのかどうか、今の指摘の多くはわかっている人が安全に使えるようになるだけで、わからない人には効果がない、という点をこれからの課題としてみてはどうでしょうかな。

http://takagi-hiromitsu.jp/diary/20071208.html

PKIは、根っこ(root証明書)だけしっかりしてても意味がないのは、EV SSLが登場したことでもわかると思う・・・。
中間がでたらめな承認を繰り返していれば、何の意味もないので、メールアドレスだけで承認されるものとか、金払うだけで・・・なPKIの証明書なんていうのは自己署名証明書と何が違いますか。

PKIは各発行者の運用ポリシーが何より大事。たとえば車の免許をもっている人だけに発行するとかそういうこと。EV SSLは、各社ばらばらだったものを「ある程度」統一しただけのもの。

汎用のPKIより用途を絞ったPKIを運用している人の方が、こういうのはわかっているものかな。