産総研の高木さんが、いちいち証明書を確認する必要があるってのは「本来」おかしい、という趣旨のことをよく訴えてるけど(例えば JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり とか)、あるべき姿でWebやメールが運用されていないんだから、いろいろ確認せざるを得ないんじゃないかな。
ただ、どういう状況で何を確認しなくちゃいけないかが混乱してるのは確かで、そのあたりは、安全なWebサイト利用の鉄則にはちゃんと書かれている。でもこのあたり、普通の人は分けて考えられんだろう。大概の場合は「その運営者のドメイン名をまだ知らない場合：」に相当すると思う。(4/13追記：常陽銀行のリニューアルに期待したがその期待は裏切られた のような状況もある)

でもって、確認しなくちゃいけないのはWebばかりではなくて、メールも同様なのだが、こちらは専門家でもどうしようもないくらい信用ならない世界になってる。

たとえば、、、

三菱東京UFJ銀行らしきところが、
mail from:*****@********.bk.mufg.jp
なメールを
210.128.155.14 helo: ms04.ufjbank.co.jp
から送ってきた。これ、信用していいんだろうか？

1. パラノイド検査に合格しない。
　210.128.155.14を逆引きすると、h014-155.ibps.ne.jp
　これを正引きすると、Aレコードが無く信用できない。
　ibps.ne.jp って誰？

2. HELO:がいまいち、、、
ms04.ufjbank.co.jpのAレコードは210.128.155.16
ま、送信元の210.128.155.14 と近いし、とりあえず今回は信用して受信してあげよう。
(なんと寛大、、、FQDNじゃないHELO/EHLO送ってくるところに比べればはるかにましってことで)

3. 汎用ドメイン
そもそも、bk.mufg.jp　なんていうわかりにくくて、しかも信頼性の低い汎用ドメインを銀行が使ってるのが問題。
MUFG.CO.JP=菱永鑑定調査株式会社
MUFJ.CO.JP=永楽実業株式会社
なんてのあるし、、、でも、
MUFJ.JPは株式会社三菱UFJフィナンシャル・グループ
だし、、、UFJ.JPってのも正体よくわからん、、、
日本語ドメイン普及した日には、東京三菱ＵＦＪ銀行.JPが正しいんだか、三菱東京ＵＦＪ銀行.JPが正しいんだかわからんぞ。

4. SPF
PTRなんか不要、SPFだぜぇという向きかと思いきや、それもないみたいだし、、、
信用するすべは、2くらいかぁ、、、それもあと一歩。

5. ついでに、、、
mufg.jpのNSやってる5つのDNSサーバ、どれも設定に問題アリ、、、

ということで、インターネットを安心して使える日は道は遠い、、、(ってか無理)

4/11追記:
「その運営者のドメイン名をまだ知らない場合：」に相当、というのはその運営者のドメイン名なんて、厳密に覚えていないし、MICROSOFT.COMとMlCROSOFT.COMは一瞥では区別できんだろうという意味。サイト運営者の鉄則の「まぎらわしくないドメイン名を使う」という状況が高木さんの理想とはほど遠い。マイク口ソフト.JPがそれなりな証明書をとったら騙される人は出るだろう。本来のドメイン所有者以外に証明書発行するタコ認証局には消えてもらうしかないって高木さんは指摘するが、紛らわしいドメイン名の証明書はどうなのか、、、利用者の責任分界をはっきりさせたいという高木さんの主張は理解しているつもりだが、ドメイン名と南京錠アイコンだけで確認できるのを期待するのは現状では甘い。(だからこそ上記鉄則で訴えているんでしょうが、、、)