Ecco una cosa che non capisco - perché è possibile che un'organizzazione cinese forgi un certificato SSL per un sito Web americano e viceversa? Che cosa ha portato a una decisione progettuale di creare CA generali invece di forzare i registri TLD per verificare l'identità dei proprietari di domini, consentendo solo - ad esempio - al registro TLD .com di firmare i certificati .com?
semplicemente perché CA precede i Registrar di TLD. L'intera Idea dei Certificati ha origini nelle DAP volte (Directory Access Protocol), quando l'Idea era più lungo le linee di directory centrali che forniscono l'autorizzazione a utenti specifici dai certificati. (Sto parafrasando qui)
Per riferimento storico. il primo DNS (BIND) è del 1984. Molti anni dopo.
Leggi altre domande sui tag tls certificate-authority