A proc neignorujes to IPcko? Jakejkoli zaznam v DNS bez DNSEC je o milion radu duveryhodnejsi informace, nez jakekoli libovolnou CA podepsanej cert. Uz minimalne proto, ze zaznam v DNS si muze kdokoli kdykoli mnoha ruznymi zpusoby overit, ale to, ze nejaka CA podepise milion certifikatu pro domeny, u kterych jejich spravci/drzitele vubec netusej ze by nejakej cert chteli, nemas absolutne zadnou moznost zjistit.