Moin,

Der Sinn: Signierte SSL-Zertifikate werden vom Browser ohne Sicherheitshinweis akzeptiert (und genau so sollte es eben sein, denn wenn beispielsweise beim Besuch der Online-Banking-Seite so ein Sicherheitshinweis auftaucht, dann ist höchste Alarmstufe gegeben!).

Das Zertifikat einer Zertifizierungsstelle beweist in der Regel nur, dass diese Zertifizierungsstelle das Zertifikat ausgestellt hat. Nicht mehr und nicht weniger. Insbesondere sagt es nichts über die Vertrauenswürdigkeit des Zertifikats aus, ich erinnere hier mal an die falschen Microsoft-Zertifikate von Verisign.

Der korrekte Weg ein Zertifikat zu überprüfen, zumindest wenn es darauf ankommt, ist den Fingerabdruck über einen sicheren Kanal zu vergleichen. Bei dem Online-Banking-Beispiel sollte man also mindestens bei der Bank anrufen und sich den Fingerabdruck vorlesen lassen, am besten macht man das sogar persönlich am Schalter.

Wobei das die _Mindestzahl_ ist. "example.org" und "www.example.org" sind zwei verschiedene Domainnamen, also brauchen sie auch zwei verschiedene SSL-Server und damit zwei IPs.

Nein. Sieh dir zum Beispiel das Zertifikat von www.informatik.hu-berlin.de Port 443 oder sigma.informatik.hu-berlin.de Port 995 an.