А, да, вдогонку.Сотни уеб-мастеров поленятся или не осилят сделать свои решения и будут использовать browserid.org для верификации этих подписей-assertion'ов. В итоге browserid.org будет иметь жирную базу кто куда ходит.
И вот это — плохо.
Но по сравнению с OpenID — хорошо. Потому что тут юзер с горем-пополам сам имеет свою identity, а «провайдер» ее только подтверждает (это уже не provider, это уже TTP notary этакий). А в OpenID юзерская identity, по сути, принадлежит не юзеру, а провайдеру, что есть огромный архитектурный косяк.
Теперь надо оторвать от этой фигни email, оставить в ядре только ключи, а email и прочие регалии (от xmpp-аккаунта и ostatus-микробложика до твиттора и вконтактика) подтверждать-пихать в подписи. Плюс сделать CRL и key escrow, и будет в целом красиво и хорошо.