ネット上で公開されているLGPKIのフィンガープリントのほとんどすべてを偽造しまくる
トランスペアレントキャッシュみたいなものを置かなければならない、と考えると、わりと面倒です。
そう言ったトランスペアレントキャッシュを構築できたとしても、
それをインターネットの出口近くに置くことができるか、という問題もあります。

十分に多い数確認すれば、それなりの(あくまでも、「それなりの」ですが)信頼性は得られます。

いつも完璧な信頼性を求める、という条件であれば話は別です。
そうなってくると、
    - ブラウザ組み込みの証明書はどうして信用できるのか、とか、
    - ブラウザ自体はどうして信用できるのか、とか、
    - プリインストールのOSが汚染されていないことはどうやって保証するのか、とか
    - 非プリインストールのOSのメディアは汚染されていないのか、とか、
他にもいろいろ考えるべきことはありますね。

> いやいや、全然簡単ですよ。

おお、言われてみれば、確かに簡単そうですね。
でも、設置するのはそんなに簡単じゃないと思います。

> ユーザに落ち度がある場合を、ない場合と一緒くたにするのはやめてくれませんか。

どれがユーザに落ち度があるケースで、どのケースがユーザに落ち度がないケースですか？
ヘンなブラウザを拾ってくるのは、ヘンなフィンガープリントを拾ってくるのと大差ないと思います。
へんなOSを納入されてしまうのと、ヘンなプロキシを回線に挟まれてしまうので、どういう差があるんでしょう？

> 簡単な場合もありますよ。

もちろん、そういう場合もありますね。

ところで、フィンガープリントを画像で表示されたりすると、結構厄介なことになりますね。
ユーザ名・パスワードの入力時に、人間の手を介させるために、画像表示された文字列を入れるやつ、ありますよね。
ああ言う風に毎回ノイズを混ぜて表示させると、なおのこと厄介になりますね。

> 全然違うでしょう。

どの点を指して言っていますか？私は「ユーザの落ち度」について議論しているつもりです。
    - ヘンなOS(もしくはブラウザ)を納入されること
    - ヘンなトランスペアレントプロキシを挟まれること
のどちらがユーザの落ち度がある場合で、どちらがそうでない場合ですか？
どっちもどっちだと思うけどなあ。

「消防署の方から来ました」とかね。