Angesichts von #eIDAS & Co frage ich mich, ob Browserhersteller wie #Firefox nicht das Zertifikatssystem so umbauen sollten, dass man zumindest als User eine Root-CA nicht nur auf Anwendungsfälle (Webseiten, E-Mail, …), sondern auch auf eine Liste von CN/Hostnamen beschränken könnte. Also sowas wie "Firmen-CA darf nur für Dinge unter *.mycompany.example/*@mycompany.example oder *.aufgekau.ft" oder "EU MITM Sicherheits CA darf nur *.europa.eu"
@adlerweb sinnvoll wäre, wenn man das als Betreiber einer Seite festlegen könnte, aber CAA-Records binden nur CAs, die sich an die Regeln halten (müssen)