az 1.-re gondoltam. a dns-hez nem kell nyulni, ha a cel szerver ip cimet el tudod teriteni (arp/bgp spoofing), es akkor a http szerver mar nalad van, igy te tudsz uj certet hitelesiteni vele.