Le système des "autorités" se caractérise par :
- la concurrence commerciale envers le client
- les monopoles locaux pour le consommateur final
Le client, c'est le propriétaire du domaine (vivien). Il peut faire jouer la concurrence. Le produit est à peu près standardisé, même si les procédures peuvent un peu varier. Un fournisseur moins procédurier est plus confortable, même s'il dégrade au final la qualité du produit.
Le consommateur final, c'est le forum qui accède à ce forum. Je n'ai pas le choix : pour valider le certificat du site, je dois me reposer sur le fournisseur de cette certification. Je suis dans la situation de la personne qui veut téléphoner à quelqu'un chez un opérateur X, je vais financer cet opérateur X à un tarif défini (et régulé par une Autorité indépendante).
Il y a une différence : quand je choisis un opérateur de téléphonie, je sais s'il attribue des numéros fixes géographiques, non-géographiques, ou mobiles. (Il se trouve que les opérateurs mobiles attribuent tous un numéro mobile et non un fixe non-géographique, c'est bizarre.) Je peux choisir un opérateur en fonction de ce qu'il me coûtera et aussi en fonction de ce qu'il coûtera aux gens qui m'appellent.
La différence évidemment est que tout le monde pense à sa facture de téléphone et que presque personne ne pense à la chaîne de certification d'un site et à son magasin de certificats racines.
Il n'y a pas un "régulateur" unique des tiers de confiance TLS, mais plusieurs : MS, Mozilla... font les rois.
L'utilisateur délègue sa confiance à un gestionnaire (MS, Mozilla...) qui délègue à des AC qui délèguent souvent à des sous-traitants, et éventuellement sur plusieurs niveaux.
On parle souvent de la dilution des responsabilités que provoque la sous-traitance en cascade, on a là un exemple flagrant.