Názor k článku Šifrované SNI lepí díru do soukromí, jako první ho bude umět Firefox od jouda - Jak do dubu. 0. Jistě, ten resolver to bude...

Jak do dubu.
0. Jistě, ten resolver to bude mít nejspíš včetně celého .cz v cache a nikam nepoleze, což nám ale zbytečně komplikuje výklad trivialit, stejně jako možnost, že místo root cache má root zone.

1.tvrdím, že šance že vydaný certifikát je fraud je pro praktické použití sice nenulová, ale extrémně nízká. Pokud tvrdíš opak, pak [citation needed]. Jako důkaz že se tak houfně děje stačí odkaz na CT log...
Pokud je potřeba něco lepšího, máme tu EV. Opět, pro tvrzení o nedůvěryhodnosti EV prosím odkaz na CT log...

2.a? To samé, jak často se tohle děje? Vezměme Alexa top 1M sites, u kolika dojde za rok k vydání certifikátu někomu, komu nepatří?

3. DNSSEC. CAA.+ se na to přijde okamžitě, když vlezu na vlastní web a ono mi to zařve že jako revoked.