Názor k článku Let's Encrypt zablokoval nebezpečnou validaci pomocí self-signed certifikátu od Filip Jirsák - Přesněji ten důvod spočívá v tom, že na...

Přesněji ten důvod spočívá v tom, že na spoustě webů je HTTPS zprovozněno „omylem“ a vede na nějaký náhodný virtualhost. Jenže ten samý problém může nastat i s HTTP, a dá se očekávat, že s prosazováním HTTPS se ten poměr bude postupně otáčet – že bude ubývat těch serverů, kde je zapomenuté HTTPS, a bude přibývat těch, kde je zapomenuté HTTP.
Upřímně řečeno, každá metoda jiná než DNS bude vždy mít větší míru rizika, protože se tam přidává další prvek, který může mít z rozumných důvodů v moci někdo jiný, než vlastník domény. Asi by bylo rozumné, aby se každá metoda ověřování musela explicitně zapnout v DNS – tak, jako je možné pomocí CAA záznamů určit povolené certifikační autority. Ten záznam by se dal do DNS jednorázově, a rotace klíčů už se pak dá dělat normálně přes http-01, tls-sni-02 nebo hypotetické https-01 – pokud by byly v DNS povolené.