"Ezzel az erővel az éppen lefikkantott klasszikus PKI is out-of-band, merthogy a bedrótozott root CA-k out-of-band információk"
Ez így van, a PKI is out-of-band. Nem véletlenül: mivel nem lehet in-band megoldani a biztonságos kulcselosztást. Ha meg lehetne oldani, nem lenne szükség sem web-of-trustra, sem PKI-ra.
"Kriptográfiai szempontból meg teljesen érdektelen hogy HTTP-n vagy DNS-en keresztül szerzem be az információt."
A kriptográfia csak a titkosságért (harmadik fél által történő lehallgatás megelőzése) felel. A biztonság kicsit több ennél.
"A HTTPS igenis viszonylag nagy biztonságot nyújt, mert arányaiban sokba kerül közbeékelődni."
Még mindig: a HTTPS csak titkosságot nyújt, biztonságot nem.
Példa: beregisztrálok Unicode-trükkös domain neveket, például egy otpbank.hu-hoz hasonló nevű domain, majd Let's Encrypttel teljesen érvényes SSL tanúsítványt szerzek rá és beüzemelem a HTTPS-t.
Nyújt ez titkosságot? Igen. Harmadik fél csak nehezen tudja lehallgatni a kommunikációt.
Nyújt biztonságot? Nem. Akármi lehet azon a hoston, semmi nem garantálja az identitását.