Azért egy TLS-es kapcsolatnál, ahol a kliens ellenőrzi, hogy a szerver certje megfelel-e annak, amit ő vár... Nos, nem biztos, hogy elég csak a dns-t meghákolni hozzá...