Поскольку 90% удостоверяющих центров находятся в Штатах, то, в отличие от ФСБ России или соотвествующих служб Казахстана, АНБ США (или кто там у них) для организации MITM не надо заставлять пользователя ставить себе корневой сертификат. Они просто могут тихо нагнуть какой-нибудь GeoTrust или VeriSign, и у всех пользователей останется зелёный замочек, в то время, как мистер майор будет получать свой расшифрованный трафик.
Дык вот, есть какие-нибудь плагины к Файерфоксу и Хрому, которые орут не когда сертификат левый (тогда сам браузер орёт), а когда сертификат изменился? Ну типа чтобы знать, что новый сертификат стоит вдумчиво проверить.