<p dir="ltr">OK. So we can conclude CERT has reached a different conclusion than browsers and CAs.</p>
<p dir="ltr">I don't believe CERT's reply is at all consistent with other validation methods - that is, it would seem they have decided to take issue with DV in general, as compared to other validation methods. That is certainly their prerogative, but not a conclusion I share at all.</p>
<p dir="ltr">At least it would be more helpful for them to list their perceived vulnerability as accepting email validation at all, rather than conflating the issue with non-whitelisted addresses.</p>