Aquí hay una cosa que no entiendo: ¿por qué es posible que una organización china falsifique un certificado SSL para un sitio web estadounidense y viceversa? ¿Qué llevó a una decisión de diseño de crear CA generales en lugar de forzar a los registros de TLD a verificar la identidad de los propietarios del dominio, permitiendo solo, por ejemplo, que el registro de TLD de .com firme los certificados de .com?
simplemente porque los registradores de TLD anteriores a CA. Toda la Idea de los Certificados tiene sus orígenes en el DAP veces (Protocolo de acceso al directorio), cuando la Idea estaba más en la línea de Directorios Centrales que dan autoridad a usuarios específicos de certificados. (Estoy parafraseando aquí)
Para referencia histórica. el primer DNS (BIND) es de 1984. Muchos años después.
Lea otras preguntas en las etiquetas tls certificate-authority