ну например, серьезные платежки (вроде PayPal & Google Checkout) отказывают в инициации транзакции, если на callback'е или у сайта с которого приходим невалидный сертификат.
ну и еще PCI DSS явно требует «Use strong cryptography and security protocols such as secure sockets layer (SSL) / transport layer security (TLS) and Internet protocol security (IPSEC) to safeguard sensitive cardholder data during transmission over open, public networks.”
> > Эти центры защищают от чего-то? Дают какие-то гарантии?
Чтобы подписали сертификат нужно привести доказательства что домен принадлежит тебе.
В то м то и дело. Открыть счет в банке на бомжа не самая сложная операция. Или можно просто утянуть чужую карту. Дальше купить домен, оплатить сертификат. Все, никто ничего не проверяет. Распихивай посетителям своих троянов.