Comunque un attacco DoS può essere condotto in molti modi, non solo inondando un nodo con più traffico di quello che può gestire.
Ad esempio, attualmente sto studiando le tecniche di validazione dei certificati alternative a quella classica (che prevede di cercare una catena di certificati fino a un punto di fiducia e verificare che nessuno di quei certificati siano scaduti o revocati): nel caso del key-pinning, ad esempio, si considera che la prima connessione a un server sia sempre ok, per cui il pin (cha in pratica contiene un riassunto dei certificati associati al server) inviati dal server viene salvato in un db locale e nelle successive connessioni viene confrontato con il pin calcolato sul momento dai certificati ricevuti per vedere se la connessione è affidabile o se è in corso un attacco man in the middle che utilizza un certificato fasullo (ma che potrebbe avere come distinguished name il nome del server impersonato (ciò può succedere a causa di errori da parte della certification authority nella verifica dell'identità di chi richiede un certificato)). In questo caso, se l'attaccante riesce a impersonare il server durante la prima connessione, può inviare al client un pin relativo al certificato fasullo e con una data di scadenza molto lontana nel futuro; in questo modo, se anche in seguito l'attaccante venisse sventato, il client considererebbe come errato il certificato presentato dal server legittimo fino a quando non scadesse il pin che ha salvato nel db locale. Quindi gli verrebbe negato il servizio.
Considera che il key-pinning è attualmente implementato sia in Chrome che in Firefox, per cui questo è un problema realmente esistente e che ha portato negli anni a combinare il key-pinning con altre tecniche che validano anche la prima connessione (e che a loro volta possono essere sfruttate per condurre attacchi DoS, ma di più breve durata).