Ad 2 – to nijak nesouvisí s ACME, ale se způsobem ověřování. DV certifikáty se běžně vystavují tak, že dokážete, že ovládáte webový server nebo poštovní schránku.
Ad 3 – ano, DV certifikáty překvapivě potvrzují schopnost manipulace s DNS. Pokud útočník může libovolně manipulovat s doménou, jak předpokládáte, může se stát i jejím vlastníkem. Mimochodem, který registrátor umožňuje převzít kompletní správu doménu tím, že jenom odchytíte e-mail?
Já za větší problém, než potvrzování přes DNS (které potvrzuje to, co potvrzovat má, totiž že dotyčný ovládá doménu), považuju ověřování přes HTTP nebo přes e-mail – protože to, že někdo dokáže vystavit specifický soubor na webovém serveru, nebo přijmout e-mail pro určitou schránku, neznamená, že ovládá doménu.
Ve skutečnosti HTTP a HTTPS s DV certifkátem jsou stejně bezpečné. Označovat HTTP za nebezpečnější než HTTPS s DV certifikátem je chybné, nikam nás to neposouvá a jen to zvyšuje náklady.
No jistě. Je jenom na vlastníkovi domény, jak si přístup k její správě zabezpečí. Pokud jej má bezpečný, jsou i DV certifikáty bezpečné. Jak to samé zajistíte s HTTP?