Myslel jsem kritické místo z hlediska autentizace. Bez funkčního DNS se k bance málokdo připojí, ale jde o to, aby autentizace EV certifikátem skrytě neznamenala jen ověření DNSSEC. Protože ověření DNSSEC si udělám sám, nepotřebuju k tomu ještě certifikační autoritu, která jen ověří to samé.
DV certifikáty jsou něco jiného, ty lze skutečně DANE nahradit. Ale to jsou takové „certifikáty“ – dokazují víceméně to, že majitel privátního klíče má v moci webserver na příslušné adrese, což vím i bez certifikátu…
Ono se to několikrát měnilo, ale mám pocit, že aktuální návrh HTTP/2 počítá pouze se šifrováním.