". Ebben az esetben a biztonság 3 dolgot jelent: titkosítás, hitelesítés, azonosítás. Mindhárom elméletben tökéletesen megvalósítható, csatornán belül, bármiféle külső kulcselosztási kényszer nélkül."
Nem, tökéletesen nem valósítható meg. Csak akkor, ha elfogadod, hogy harmadik félre bízod a valódi azonosítást. Ugyanis certificate kiadásnál valójában ők végzik el azt az azonosítást, ami azt mondja, hogy az XYZ certificate az OTP Bank tulajdona, és te ebben csak megbízol.
Ugyanígy a DNS regisztrációnál is (ami a Let's Encryptben való bizalom végső feltétele) a DNS regisztrátor végzi out-of-band az azonosítást.
És ezek az azonosítások bizony nem csatornán belül történnek.
"Ettől még nem lesz kevésbé biztonságos a PKI vagy a https, és igenis kell hinni bennük."
Hinni a PKI-ban az egy dolog. És tudni azt, hogy alapvetően egy külső bizalomra épülő, rendkívül sérülékeny rendszerről van szó, az meg egy másik dolog. Csakhogy a biztonság nem a hitről szól.