Ik zou het ook graag anders zien, maar DNSSEC heeft nogal wat cruciale "probleempjes": - is er iets mis met de domeininformatie dan "verdwijnt" de website - cryptografisch gezien al enigszins verouderd en niet erg flexibel - aanvulling op cruciale infrastructuur en dus redelijk complex om in te voeren (aanpassen softwarebibliotheken en servers, meer verkeer, risico tot asymmetrische stromen, mogelijkheid tot ander transportprotocol) - makkelijkere en sterkere alternatieven die wel het end-to-end principe in stand houden (voor websites HSTS met preloading en/of HPKP en in het algemeen Googles certificate transparency) Het is erg belangrijk dat DNS beveiligd wordt/kan worden, maar de vraag is ten koste van wat? Als misconfiguratie vaker voorkomt dan DNS hijacking of als het gewoon meer kost / meer schade berokkend dan moet je je afvragen of het wel een goed idee is, helemaal als het alternatief goed genoeg is. Persoonlijk denk ik dat DNSSEC minimaal een koppeling met de applicatielaag moet krijgen zodat ...