DNSSEC (Domain Name System Security Extensions) криптографически подписывает DNS-записи, чтобы resolver'ы могли проверить, что они не были tampering'ом. Это добавляет цепочку доверия от корня вниз к твоей зоне.
Без DNSSEC, злоумышленник, который контролирует DNS-resolver твоего ISP'а или находится в твоей сети, может перенаправить трафик куда угодно. DNSSEC не скрывает твой трафик и не останавливает логирование запросов — это просто доказывает, что ответы законны. И твой регистратор, и оператор nameserver'а должны его поддерживать; большинство делают сейчас.
Включение DNSSEC требует создания ключа подписания, создания DS-записей в твоём реестре и push-обновлений, когда твой ключ подписания ротирует. Это добавляет операционное трение. Некоторые регистраторы и хостинг-провайдеры обрабатывают это прозрачно; другие заставляют тебя управлять этим самостоятельно. Неправильная конфигурация разрушает твою зону полностью.
Это театр безопасности, если твой регистратор взломан или твой nameserver скомпрометирован восходящим потоком. Но против пассивных сетевых атак и отравления кэша DNS это работает. Всё больше рекомендуется для чувствительных операций: журналистские домены, крипто-биржи, что-либо, которое не может позволить себе атаку редиректа.