Prohlížeče by měly jen svým uživatelům komunikovat, že je tím ověřena komunikace s doménou XY a nikdo neposlouchá cestou. Žádné další záruky.
Toto má dvě hluboké trhliny, resp. tři.
1. Ověřena komunikace s doménou XY: lidé berou, že doména = firma, osoba či nějaké uskupení. Myslím, že lidi moc nezajímá, že firma "Masokombinát Vepřovice, s. r. o." je držitelem domény "zijme-vege.cz". DV certifikáty, z hlediska ověření s kým komunikuji neříkají ve skutečnosti vůbec nic. Podle mě je to špatně.
2. Díky ACME je možné získat DV certifikát i podloudně, stačí mít přístup k síti blízko cílovému serveru a využít reverzní MITM útok. V tu ránu máte certifikát a můžete dělat, co chcete.
3. Celá slabina systému (řetězce) se dnes přesunula na to, jak dobře je zabezpečený přístup ke správě DNS. Velké firmy to možná mají dobře, ale malé a střední firmy využívají registrátory, kteří umožňují správu DNS přes Web. Na Webu bývá většinou možnost zaslat zapomenuté heslo, což probíhá pomocí SMTP, které je nešifrované (opurtunisticky šifrované). Takže postup hackera: postavím se do cesty mailserveru. Vyžádám recovery hesla k DNS správě přes web. Odchytím poštu. Využiju DNS autorizaci protokolu ACME, abych získal certifikát.
Ve skutečnosti HTTP a HTTPS s DV certifkátem jsou stejně bezpečné. Označovat HTTP za nebezpečnější než HTTPS s DV certifikátem je chybné, nikam nás to neposouvá a jen to zvyšuje náklady.