Moin!

das mit der Vertrauenstellung hast Du ja nicht gefragt.

Ist aber zentraler Bestandteil von SSL.

Nicht jeder Server der SSL anbietet ist auch entsprechend bei einem RSA etc. Dienst registriert.

Kein SSL-Server ist bei irgendeinem RSA etc. Dienst "registriert". Allerhöchstens, weil dort eine Kundendatenbank steht.

Die Gültigkeit des SSL-Zertifikats, das der Server vorweist, wird einzig und allein aufgrund der beim Client vorliegenden CA-Schlüssel verifiziert, anhand der digitalen Signatur, den diese CA unter das SSL-Zertifikat gesetzt hat.

Eine Kommunikation mit Dritten findet nicht statt. Muß auch nicht stattfinden.

Von daher nimmt der Browser erst mal von mir genannte Informationen und lehnt bei einem Fehler darin die Verbinsung ab bzw. es popt ein Fenster auf, dass das Zertifikat ungültig sei.

Korrekt. Das dient aber ausschließlich der Verhinderung von Spoofing. Die Verschlüsselung wird davon nicht beeinflusst.

Ob es dann sicher ist oder nicht, wird dann mit dem 2. Schritt den Du benannt has festgestellt.
Hierbei muss wiederu der bei Deinic eingetragene Name sowie IP und domainname mit dem des Registrieres übereinstimmen.

Hä? Die Denic (oder sonst eine Domainregistrierung) hat mit SSL und Zertifikaten nicht besonders viel zu tun. Bestenfalls prüft die CA, dass der Antragsteller für die Signatur tatsächlich die im Antrag genannte Domain besitzt, korrekt ausgewiesen ist, und folglich bestätigt werden kann, dass eine Unterschrift die Authentizität zu Recht bestätigt. Das ist aber vom DNS-System absolut unabhängig. Nicht mal die IP-Adresse ist relevant, die darf sich gerne beliebig ändern, sofern der Name des Servers immer zum SSL-Zertifikat paßt.

- Sven Rautenberg