SSL + цифровые сертификаты.
никто не запрещает фишинговому сайту быть доступным по https протоколу. но ssl сертификат у фишинговых сайтов никогда не будет подписан доверенными центрами сертификации.
Кроме того нормальные броузера (например файрфокс) имеют функции проверки сайта на фишинг.

проблемма в данном случае в самих пользователях а не в фишинге.

На самом деле все зависит от постановки вопроса. Мы пытаемся ответить на вопрос,
1) как самому не попасться на фишнговый сайт,
2) как не допустить чтобы пользователи вашего сайта, не попались на удочку фишеров, имитирующих ваш сайт

Проще всего ответить на первый вопрос. Если вы задайтесь вопросом, как не попасться фишерам, то с вероятностью 99% вы на их удочку не попадетесь. Вы будете с подозрением относиться к письмам с предложениями ввести пароль и тп, вас смутит, почему логин и пароль вашего банка вводиться на незащищенной странице, и тп...

сложне со вторым вариантом. Тут нужно вести просветительскую работу среди пользователей. Объяснять, показывать при входе в систему, чтобы они проверяли цифровые сертификаты сайта, оповещать, что ваш сайт НИКОГДА не потребует пароля по электронной почте, и тп.

В случае если мы говорим про фишинг вообще,с как сделать так чобы фишеров не было во всем мире Но тут ответ на вопрос такой же как и в п2. Нужно просвещать всех пользователей интернета по проблеме фишинга.
грубо говоря - кто предупрежден - тот защищен..

Они прям подписывали доверенным центром сертификации? Или тупо каким то своим сертификатом, на который также любой броузер будет ругаться?
Сомневаюсь что кто то смог подобрать секретный ключ например тхавта.
Но даже если и секретный ключ какого любо доверенно центра окажется скомпрометированным, то долго он, и все подписанные им сертификаты не проживут, ибо есть такое понятие как списки отозванных сертификатов.