まぁ予想はしてましたし予測されて然るべきなのですが、現実に登場したとなるとインパクトが一段階あがるかなぁと。
「正規の証明書を持っているサイトも信用するな」，フィッシング研究者が警告( http://itpro.nikkeibp.co.jp/article/NEWS/20060210/229014/ )。
CA証明書の発行手順をちゃんと見ると一撃でわかりそうなものですが。
ちなみに、多分デファクトスタンダードなんじゃなかろうかと思われるベリサインではちゃんと規定があります。 http://www.verisign.co.jp/repository/CPS/ の、 日本ベリサインCPS (VeriSign Japan CPS) の最新バージョンのPDFでもご覧になってみてください。 CPS ってのは「認証業務運用規程（Certification Practice Statement）」です。
で、ちぃと引用を。
例えば企業向けの場合

3.1.8.1 組織向け証明書の利用者の同一性の確認
3.1.8.1.1 リテール組織向け証明書の確認
日本ベリサインは、リテール組織向け証明書の証明書申請者の同一性を次の方法により確認する。
・ 当該組織が存在することを、最低一種類の第三者による証明サービスもしくはデータベースの利用により、あるいはこの代わりに、当該組織の存在を確認する関係政府機関の発行する文書もしくはこれに登録された文書により、検証し、かつ
・ 申請者に対して当該組織に関する情報、当該組織が証明書申請を認めたこと、及び当該組織を代表して申請を行う権限があることを電話、郵便、またはこれらに相当する方法で確認する。

とかっていうお堅い感じでグッドなのですが。
これが個人向けの場合、ひどいと

3.1.9.1 クラス1個人向け証明書
クラス1証明書の個人認証は、日本ベリサインのクラス1 認証機関サブドメイン内で、サブジェクト識別名が唯一かつ明確なサブジェクト名であることを確実にするための調査により行われる。クラス1証明書の認証は、実在性の保証を提供するものではない（すなわち、そうであると主張する者が利用者であることの保証はしない）。利用者のコモン・ネームは、確認を実施しない利用者情報である。クラス1証明書の認証は、証明書申請者の電子メールアドレスの限定的な確認を含む。

ってな感じになりますですはい。
確かに厳密には「SSL通信における暗号化が正しく行われる」ためにはclass 1でも問題はないんでしょうが。現状、多くの場合において「該当企業が安心できる相手であること」みたいなニュアンスまで付属されているあたりの、現実と希望の齟齬がなにか問題を孕んでいるような。
対ユーザ向けには「危ないよ」と警告を出しつつ、対技術者向けには「個人用では警告出すとか"実在証明レベル"を一目でわかるようにするとかなにか技術的対策とろうよ」とか言って見たい今日この頃。