1) товарищ майор выпускает сертификат ну пусть bbva.es подписывая его тем самым корневым МинЦифры , который у вас в системе доверенный дальше некуда

2) вы находясь в России открываете bbva.es, ваш трафик перенаправляется на "прокладку" с этим сертификатом

3) ваш браузер радостно его акцептит потому что есть траст от цепочки товарища майора (МинЦифры)

п.1 недостаточно. Нужно чтобы этот сертификат был размещен на bbva.es. Но настоящий владелец домена вряд ли на это согласится. А если согласится, то это как пример с ВК (значит домен=товарищ майор)

Вы угораете? В России даже ДНС запросы у некоторых магистральных провайдаеров на 8.8.8.8, если уже не у всех, подменяются на местные

Первоначальные условия, если я не ошибаюсь, предполагают, что пользователь находится за пределами РФ.
Для тех, кто внутри (и не только): есть специальные протоколы (я, например, использую DNS-over-TLS)

Ну а если говорить в общем, то, безопасность, - это комплекс задач. Нужно быть специалистом, чтобы поддерживать ее на высоком уровне.

;)

Это уже продолжение дискуссии. То, о чем я говорил касается вопроса о том, как находящимся вне пределов РФ (большинству аудитории этого чата) получать доступ к сайтам гос. структур РФ.