Une fois n'est pas coutume, mais je suis tout à fait de l'avis de Kevin. Il existe des extensions qui enregistrent l'autorité utilisée pour signer un certificat lors de la première visite d'un site, et qui lancent un avertissement si cette autorité change lors des visites suivantes (Certificate Patrol pour Firefox, par exemple). Ça permet d'éviter à peu près toutes les attaques man-in-the-middle, et sans avoir besoin d'afficher des grosses erreurs en rouge à l'utilisateur chaque fois qu'il se rend sur un site. Il me semble que SSH fonctionne sur ce principe (fingerprint à la première connexion), et pour autant on ne le considère pas comme "peu sûr".

Si les certificats étaient gérés de cette façon, au lieu des avertissements complètement débiles qu'on a dans les navigateurs aujourd'hui, ça inciterait beaucoup plus les webmasters à utiliser du HTTPS sans craindre de perdre (litéralement) leurs utilisateurs.