>>Ключи на стороне клиента генерируются.
> Подпись на стороне ца. Конечный подписанный серт генерируется на стороне ЦА.

У клиента может быть уязвимая реализация гспч. У центра уязвимая реализация - вон из бизнеса.

> Мир не идеален, так ни одного ЦА не останется или каждый день будет новый ЦА без репутации.

Вселенная жестока и несправедлива. Ты до сих пор жив только потому, что бесчисленное число людей, единственная вина которых была в том, что им не повезло, сдохли.

>Тот же летсенкрипт уже отзывал серты, что его теперь обнулить из-за этого?

Да, исключить его серты. Чьи сайты перестанут работать - сами виноваты, что выбрали этот CA.

> Никакого бизнеса тут быть не должно этим должны заниматься НКО.

Только при наличии адекватной оплаты адекватный CA может существовать. Какая у него правовая форма - глубоко пофиг. Нужна оплата такая, чтобы CA мог себе позволить обеспечить отсутствие инцидентов.

> Сколько ЦА убрали из-за отзыва сертов?

Это ещё раз указывает на то, что сегодняшняя система PKI скомпрометированна конфликтом интересов у её участников.

>Крупные ЦА отзывали и отзывают серты - это нормально и это должно быть автоматизировано, чем реньше серт будет отозван тем меньше угроза безопасности клиентов банка.
> Мощно.  Бизнесмены, подрядчики и это все альтернатива ACME? Очень смешно.

Да. Не нравится, что сайт может выдти из строя из-за выхода из строя CA - резервируй. Всё равно рисковано? Пиши в договоре "ничего своим клиентам я не обязан"? Клиенты не оценили, идут к конкурентам? Не пиши так, страхуй ответственность. Некоммерческий сервис, бесплатный? Ну так не проблема не гарантировать сервис.