Das wird clientseitig nicht umsetzbar sein, da man dann bei den Websites, welche solche Zertifikate einsetzen, keine Möglichkeit mehr hätte, die Authentizität zu überprüfen. Auch muss man sich fragen, was man im Zweifelsfall gegen einen MitM-Angriff tut - selbst wenn man diesen erkennen könnte, hat man bloss die Wahl, die Verbindung abzubrechen (und den Dienst somit nicht zu nutzen) oder die Verbindung dennoch aufzubauen. Sollte tatsächlich jemand im grossen Stil (und nicht nur gezielt) MitM-Angriffe an grösseren Knotenpunkten oder gar IXes fahren würde das Ablehnen von dessen Zertifikaten dazu führen, dass man keine SSL/TLS-Sessions mehr aufbauen kann. Insofern sehe ich in da bloss die Möglichkeit, heuristisch zu versuchen, MitM-Angriffe zu erkennen (z.B. durch Browser-Erweiterungen wie Certificate Patrol), und im Zweifelsfall zu entscheiden, ob die Vertraulichkeit der übertragenen Daten oder die Möglichkeit zum Aufbau der Verbindung an sich wichtiger ist. Als Diensteanbieter könnte man zumindest für die erzwungene Herausgabe von privaten Schlüsseln (oder deren Leak im Falle eines kompromittierten Systems) vorsorgen, indem man PFS nutzt.
Allerdings lassen sich MitM-Angriffe prinzipbedingt nicht komplett unauffällig durchführen, da man bei einem grossflächigen Angriff zumindest feststellen könnte, dass viele Zertifikate auf dasselbe Intermediate- oder Root-CA-Zertifikat zurückzuführen wären, und ggf. auch, dass das ältere, ursprüngliche Zertifikat weit vor Ablauf seiner Gültigkeitsdauer `ersetzt` wurde. Insofern wäre ich sehr an weiteren Details interessiert, welche den Umfang und die Technik der mutmasslichen Angriffe betreffen. An dieser Stelle bemerkt man leider einen Nachteil von Snowdens Entscheidung, die Originaldokumente nur an bestimmte Redaktionen weiterzugeben, statt sie öffentlich zugänglich zu machen (dass scheinbar Dokumente/Frstplatten beschlagnahmt oder zerstört wurden und unklar ist, ob noch weitere Kopien davon existieren, ist ein weiteres Problem).
