"ha valaki MITM-et tud csinalni az akkor mar uj letsencrypt certet is csinalhat szal az ellen pont nem ved."
A te domain-edre? Hogyan ékelődik a letsencrypt szerverei és az ő DNS szolgáltatójuk közé, hogy elhitesse velük, hogy ő az xy domain kiszolgáló szervere?
Szerintem ez még DNSSEC nélkül is majdnem lehetetlen (esetleg valami állami szintű entitásnak) de a DNSSEC-nek alapnak kellene ma már legyen.
Maximum valami hasonló domain-re tud kérni cert-et, de oda sem lesz túl könnyű áritányitania a usert.