Door Erik van Straten: Doordat DV (Domain Validated) https servercertificaten algemeen geaccepteerd zijn, en webbrowsers geen verschil laten zien met betrouwbaarder certificaten, is DNS een server-authenticatie-SPOF (Single Point Of Failure) geworden. Zodra het aanvallers lukt om het IP-adres (of adressen) achter verzinhetmaar.nl in DNS naar hun eigen server te laten wijzen, hebben ze in een oogwenk een door elke browser geaccepteerd certificaat op hun server (je moet er niet aan denken dat ze een heel TLD zoals .nl kunnen overnemen). Deze SPOF leidt er ook toe dat, bijvoorbeeld in minder democratische gebieden, misbruik gemaakt kan worden van DNS: als in zo'n gebied zowel een DV-cerificaatuitgever als eindgebruikers via DNS een aangepast IP-adres ontvangen voor bijvoorbeeld wikipedia.org, kunnen eindgebruikers die https://wikipedia.org/ openen (en een slotje zien) er niet meer van op aan dat het om de echte wikipedia.org gaat. En als dan het om een site gaat waar je op inlogt, helpt zelfs WebAuthn (FIDO2 ...