>>> дальше они предложат встраивать js-код прямо в сертификаты
>> Нет, потому что это сведет всю идею к нулю
> идею «продадим лохам побольше воздуха»? полноте, эту идею не угробить ничем,
> пока на свете есть хоть один лох.Это-то здесь причем? В качестве ЦА изначально рассматривались владельцы критичных сайтов, тех же банков, например. Пользователя безопасность не волнует, что общеизвестно - во всяком случае если для этого от него требуется хотя бы поднять палец.
Вы полагаете что идея может быть реализована исключительно в виде нового типа сертификата, со встроенным JS и продаваться сертификато-продавцами под вывеской "на 40% лучше"? Да, свою аудиторию в лице какой-то части корпоративной публики такой продукт найдет, что с того?
Никто не мешает наряду с этим сделать банальный модуль для nginx, отдающий этот самый полиморфный JS, принимающий ответ и делающий соответствующие выводы с соответствующей записью в лог и, опционально, в соответствующий реквест соответствующего бэкенда. С практически нулевым влиянием на общую производительность. Более вменяемая публика будет использовать его.