OpenIDの一番の問題点は
OPのセキュリティレベルがユーザから見えない
ところにあると思うんですよね。

ユーザはアカウントを持っているサービスのボタンがあるので
押すとその確認画面が表示されて
OKを押すとログインできてしまうので
そのOPとのやり取りがhttpsを利用しているのかとか（URL見ればわかる人はわかるけど）
鍵にSHA1を使ってるのかSHA256を使っているのか、
とか判りにくいんですよね。

でも、RP側ではOPのセキュリティレベルって
ある程度認識出来ると思うので、
OPのセキュリティレベルをRP側で
表示してあげるのもありかなと、ふと思いました。

OP側のセキュリティ対策は過度なほど見受けられますが、
RP側のセキュリティ対策はあまり目立たない気がしますね。
知らないだけかもしれませんが．．．