Jenže k tomu zabezpečení pomocí TLS si nějak věrohodně potřebujete ověřit, že protistrana opravdu patří k uvedené doméně. A k tomu opět potřebujete nějak věrohodně získat údaje z DNS – tedy potřebujete DNSSEC. (To, že nějaká certifikační autorita získá nepodepsanou DNS odpověď a pak se pod to podepíše, nepovažuju za dostatečně věrohodné.)