Uma boa introdução às ameaças relacionadas ao DNS é fornecida em RFC3833 . Basicamente, o DNSSEC é uma forma, entre outras, de garantir que o servidor que você está conectando seja realmente legítimo. No entanto, é apenas uma camada de segurança e não é satisfatória por si só: ela não impede o reencaminhamento do tráfego para outro local nem interpreta os pacotes nos quais eles não são criptografados.
A principal desvantagem do DNS hoje em dia é que ele deve ser suportado nos dois lados. Isso não torna seu DNS mais seguro se ele não for implementado no lado do cliente também. Por exemplo, os navegadores da web não verificam DNSSEC sem validadores de terceiros, como DNSSEC / TLSA Validator de CZ.NIC.
O DNSSEC é um pouco à sombra dos certificados SSL, pois o SSL resolve muitos problemas além do DNSSEC. Um problema que os certificados SSL não resolvem são Autoridades de Certificação falsas ou confirmação indevida de identidade durante a obtenção do certificado, das quais ambas podem fazer com que um certificado válido e encadeado seja emitido para entidades erradas. Este pode ser um exemplo de caso que você estava procurando.
Portanto, a combinação de DNSSEC e SSL dificulta a falsificação de certificados. Com um registro de TLSA na zona assinada do DNSSEC, o certificado deve ser autorizado em duas cadeias independentes. É menos provável que uma parte desonesta possa acessar os dois. Se você implementar ambos e forçar seus clientes a exigi-los, você está usando o DNSSEC de uma maneira útil.