In den USA gibt es einen Fall von Phishing mit gültigen SSL-Zertifikaten. Dort wurde über GeoTrust - die Jungs, die auch Trustcenter in Hamburg gekauft haben, nachdem die Pleite gingen - hat ein Zertifikat an jemanden ausgestellt, der dann damit eine Banken-Site gefälscht hat. Und zwar so gut, das es einem Kunden nicht mehr ohne weiteres möglich ist, die Echtheit zu bestimmen.
SSL ist eben keine Garantie - es ist nur ein Beleg dafür, das jemand ein Zertifikat ausgestellt bekommen hat. Dazu muss man aber wissen, ob man dem Zertifikatsaussteller traut - und anders als bei Web-of-Trust-Ansätzen gibt es in der Regel eben genau einen einzigen Zertifikatsaussteller, nicht eine Gruppe oder gar eine ganzes Netzwerk.
Wenn die Schwachstelle in der Zertifizierung der Aussteller des Zertifikates ist, ist es wurscht mit wie viel oder wenig Bits der Schlüssel arbeitet ...