"ha a rosszarcú csinál egy proxy-t az optbank.hu címre, Let's Encrypt domain validated cert rámegy"
Ezt mutasd már be, hogy hogyan? A DV cert kiadása tudod egyáltalán, hogyan működik? A rosszarcúnak vagy az otpponthu DNS-ét kell tudnia módosítani, vagy az otpponthu szerver nevére visszaadott IP-címen kell tudnia a 80-as porton megfelelő választ produkálnia a cert.check folyamatban.
Ja, hogy nem latin abc. hanem mondjuk cirol vagy görög, és UTF, és "úgy néz ki"? Kérdés, hogy a hu TLD alá regisztrálható-e ilyen domain? De ez megint nem a TLS hibája, hanem a böngészőké, mert ha a címsorban az utf-es karaktereket kóddal jelenítenék meg, a hülye is látná, hogy az bpzony nem ótépébankponthu...