Здравствуйте, Иван Дубров, Вы писали:

ИД>HPKP полагается на TOFU. DNS, по идее, защищается через DNSSEC.

Я не уверен, поддерживает ли хоть один бровсер TOFU, и в них, бровсерах, нет кнопки "не верить DNS без DNSSEC".

ИД>P.S. Но я сварщик ненастоящий, практики применения у меня нет. Что в википедии вижу, то и пишу

Ну да, есть некоторые интересные теоретические идеи