DM> Левый УЦ кульадмина Васи будет принят так как пользовательскому DM> сертификату доверяют подписывать что угодно.
Да, то что там "Allow User MITM" по дефолту, снижает ценность фичи. А если поставить режим "strict pinning", кульадмин наверное сможет его принудительно поменять, или вообще выключить.
Но в целом идея, чтобы владелец сайта мог контролировать, каким УЦ позволено выдавать сертификаты на его домены, а каким не позволено, представляется мне здравой. Я и так уже давно с сомнением гляжу на список УЦ, которые по умолчанию запиханы в браузер. Почему мне предлагается доверять какому-то Чунгва Телеком, понять невозможно. А доверяет ли Google Inc. этому Чунгва Телеком выпустить сертификат на имя google.com, тоже невозможно понять. В Гугле вообще про эту Чунгву знают?