SSL/TLS ist tot, hab ich schon oft gesagt. Es gibt zur Zeit keine passende Alternative, das ist die Realität.
Verschlimmert wird die Situation dadurch das Namenhafte Hersteller immer wieder Entwickler Zertifikate einfach in Softwarereleases (Teilweise mit Private Key) vergessen, oder für bestimmte Zwecke gezielt installieren. Sie es nun um gezielt Werbung einzublenden (Superfish Skandal), umkomplizierten Support leisten zu können (DELL), oder weil die Antivirus Suite auf den Datenverkehr zugreifen möchte.
Richtig implementiert ist das alles auch nicht gefährlicher als das SSL System es eh schon ist, wenn es aber falsch gemacht wurde und die Private Keys gleich mitgeliefert werden öffnet das dem Missbrauch Tür und Tor. Schon stehen Millionen Leute im Regen weil ein Entwickler ein ungeeignetes Root Zertifikat installiert hat dem das OS Vertraut und jeder Hinz und Kund dem mit dem mitgeliefertem Private Key ein gültiges Zertifikat z.B. für die Domain ebay.com (nur ein Beispiel funktioniert z.B. nicht bei aktiviertem HPKP) erstellen kann.
Das schlimme, als Nutzer kann man herzlich wenig tun, denn von der Installation des Zertifikates kriegt man in der Regel wenig mit.
Man kann höchstens den internen Zertifikatsspeicher von Windows auf ungereimtheiten testen lassen, z.B. mittels dem Programm RCC.
Auf Seite der Webseiten Betreiber kann man eigentlich nur hoffen das diese endlich mal dafür sorgen das Features wie HPKP eine größere Verbreitung finden.
Naja aber wenn wir uns die Misere anschauen dann Stopfen features wie HPKP nur die größten Löcher in einem grudsätzlich kaputten System, aber wie schon erwähnt, es gibt keine reale Alternative.