Dominio b.br Garante Mais Segurança?

Alguém pode me explicar como é que ter um domínio b.br com DNSSec vai garantir mais segurança aos usuários de Internet Banking?

Meu raciocínio, talvez limitado, é o seguinte: o protocolo DNS é realmente inseguro. Está mesmo sujeito a todo tipo de spoofing conhecido. Só que esse problema já foi superado há muito tempo com o uso de HTTP com SSL pelos sites Web. O SSL já fornece uma autenticação criptograficamente forte do site Web, e de quebra estabelece um canal criptografado entre o cliente e o site. Não importam os truques que um fraudador venha a fazer com o DNS e com o resto da infraestrutura de rede, o cliente já sabe quando está acessando o site Web verdadeiro. E o navegador fornece uma indicação visual disso.

("Ah, mas ninguém olha o cadeadinho". Ok, se depois de 10 anos de intensa campanha muitos usuários ainda não prestam atenção no cadeado, agora subitamente vão prestar atenção em uma letra b colocada no meio da URL? Sério?)

E em termos conceituais, o DNSSec é ainda menos seguro do que o HTTP com SSL. Usando as leis de Ranum, ao confiar em um site com SSL de um banco, você está implicitamente confiando na autoridade certificadora e no próprio banco. No DNSSec você está confiando no próprio banco e no seu provedor de acesso Internet. Cancelando os fatores, você estaria trocando confiar em uma autoridade certificadora, cujo negócio é confiança, por confiar em um provedor de acesso, cujo negócio é... prover acesso. É uma má escolha na minha opinião.

Por favor, eu não condeno a iniciativa do CGI.br. Implementar DNSSec é o que está ao alcance do comitê e ele está fazendo a sua parte. Mas ele está tentando resolver um problema que já foi resolvido.

UPDATE: O site Linha Defensiva publica hoje uma notícia sobre o assunto, ouvindo inclusive o Augusto.