La expansión de DNSSEC es muy difícil debido, principalmente, a la complejidad de sus requisitos, pues tanto el administrador de una página como el usuario han de soportar la técnica. Los propietarios del dominio dependen también de que el registrador soporte este método de encriptado. Los usuarios no tienen ninguna influencia sobre la protección o no de una página mediante firmas de DNSSEC y necesitan, además, un resolver que la valide.
En definitiva, para beneficiarse de la extensión de seguridad DNSSEC, hay que:
- administrar un resolver propio como Bind,
- usar extensiones para el navegador como el DNSSEC Validator
- o buscar un proveedor que verifique las firmas DNSSEC.
En cualquier caso, hay que observar que DNSSEC solamente autentifica la resolución de nombres, no los datos transmitidos, los cuales quedan sin proteger. Como consecuencia, es obligatorio combinarlo con protocolos de transmisión encriptada como TSL.
Algunos problemas responsables de la lentitud en la aceptación de estas especificaciones pueden ser:
- Una mayor sobrecarga en el servidor de nombres que aumenta la probabilidad de ataques de denegación de servicio (Denial of Service), ocasionando la pérdida de disponibilidad de una web.
- Como las claves públicas están repartidas en el DNS, se pone en peligro la cadena de confianza.
- Sin un resolver propio cabe la posibilidad de un ataque entre el cliente y el servidor de nombres del proveedor, aunque este esté capacitado para verificar firmas DNSSEC.
Otros puntos débiles, como el llamado Zone Walking (enumeración de zona), ya han obtenido reacción. En este tipo de amenaza, el atacante puede interpretar el contenido completo de una zona protegida con DNSSEC. Para protegerlos, los nuevos resolvers nombran a los registros de recursos con un valor hash en lugar de con un texto.