と思ったら

DNSハイジャックされて、かつSSL証明書も偽造されていた事件がかつて発生していたとのこと。

カスペルスキーによると、ハッカーはブラジルのトップレベルドメインの1つであり、銀行のDNS管理も行っていたレジストラであるNIC.brのRegistro.brドメインの銀行アカウントを攻撃し、アカウントへのアクセスと同時にハッカーがGoogle’s Cloud Platform上に作成したサーバーへリダイレクトさせるようにDNSを変更しました。
リダイレクトされた本物そっくりなサイトでは、6か月前にLet’s Encrypt（無料のオープンな認証局）によって発行されてた銀行名の証明書を使って、本物のサイトと同様にブラウザに緑の鍵マークが表示されます。

ブラジルの著名銀行へのDNS攻撃

恐ろしい。
SSLで通信した相手が本当に本物なのか信用できなくなりますね。
それでも、DNSハイジャック＋証明書偽造までしなければいけないということで、ハードルは高くなりそうです。
すくなくとも、HTTP通信だけよりはHTTPS通信の方がまだましと言えるということかもしれません。
それにしても、HTTPSだからといって安心はできないといった事例ですね。