http://www.computerworld.jp/topics/vs/118209.html

　それまではSSL（Secure Socket Layer）を使えばこの攻撃から保護できると考える人が多かったが、Kaminsky氏はWebサイトの有効性を確認するためのSSL証明書でさえ、 DNS攻撃により回避できることを実証した。問題は、SSL証明書を発行する会社が証明書を確認する手段として電子メールやWebなどのインターネット・サービスを使っていることにあるという。「これではDNS攻撃の前では決して安全とは言えない」とKaminsky氏は警鐘を鳴らす。

http://www.computerworld.jp/topics/vs/118209.html

なるほど……確かに証明書を送るのにそんな方法を使ってたらダメだよなぁ。
しかしふと考えてみると、ブラウザに入ってるルート証明書すらも、そんなにセキュアに配布されてるわけじゃないんだよな。そこから攻撃されてたらアウト。どうしようもない。
結局、きちんと対策されたDNSを使うしかないんだろう。