主要观点：DNSSEC 采用进展缓慢，三十年仍未广泛普及，其与 TLS 相比在互联网中的使用情况差异巨大，原因在于经济方面成本与收益的不对等，TLS 应用能更清晰地实现成本与收益的匹配。虽有 IETF 相关努力试图改进 DNSSEC 及创建新的利益主张，但均未取得显著成效，当前 DNSSEC 存在诸多问题，如部署复杂、效率低等，对于其未来发展存在诸多疑问和思考。
关键信息：

• 1990 年 DNS 易受缓存中毒攻击，IETF 开始研究 DNSSEC 安全框架，1997 年发布相关标准但之后进展缓慢。
• TLS 兴起并广泛应用，而 DNSSEC adoption 不佳，测量其 adoption 方式多样，如通过 Tranco top 1M 域名统计等。
• TLS 与 DNSSEC 功能不同，TLS 提供更有用的信任结果，且应用与基础设施服务的成本收益关系不同。
• 虽有 IETF 关于将 TLS 公钥放入 DNS 的 DANE 努力，但因成本等问题未取得成效。
• DNS 已在互联网架构中扮演更重要角色，但 DNSSEC 面临诸多问题，如 UDP 碎片化等，且部分扩展利用其存在但效果不佳。
• 对于 DNSSEC 的未来发展存在诸多思考，如重新思考 DNSSEC 的设计等。
  重要细节：
• Netscape 的 SSL 从不同角度解决类似问题，其使用 X.509 公钥证书。
• TLS 应用在连接时需验证服务器身份等，wildcard TLS 证书与 DNS wildcard 不同。
• DNSSEC 部署需多方面配合，增加成本但应用难以直接受益。
• 一些大型域名未进行 DNSSEC 签名，且近期未见改变趋势。
• 对于 DNSSEC 的未来有多种思考方向，如前端 DNSSEC 签名等。