DNS安全擴展(DNSSEC)在企業的部署進展緩慢，但專家表示，DNSSEC比現有的證書頒發機構(CA)系統更好，企業對部署這種技術的遲疑可能是因為對其目的的誤解。

DNSSEC協議可幫助域名系統(DNS)數據中的數字簽名來驗證數據的來源以及檢查其在互聯網傳輸過程中的完整性。同時，基于DNS的域名實體認證(DANE)會通過使用DNSSEC來綁定傳輸層安全(TLS)到DNS，以確保證書來自特定的證書頒發機構。

《The Internet for Dummies》作者兼安全專家John Levine稱，DNSSEC同時具有短期和長期的優勢。

“主要的優點是，它可防止壞人偽造你的域名，讓他們無法將自己的網站偽造成你的網站，”Levine表示，“更長遠的優勢是，你可以使用DNS來安全地發布各種新信息(最明顯的是TLS證書)，而不是讓它們由第三方簽名。”

然而，大家對于這個協議心生恐懼，因為據稱它會方便政府監控數據。該理論認為，由于證書會存儲在DNS中，如果政府控制重要的頂級域名(TLD)，他們也將會控制用于驗證這些證書的TLS加密的密鑰。

Internet Society協會高級內容戰略家Dan York稱，這種認為DNSSEC方便政府監控的說法是一個謬論，因為這從來不是該協議的意圖。

“DNSSEC只做一件事情：保護存儲在DNS中信息的完整性。DNSSEC確保你從DNS獲取的域名信息正是該域名運營商放在DNS的相同信息，”York說道，“它沒有做到的是保護通信的保密性，它沒有加密這些信息，因為這并不是它的工作目標。DNSSEC可以確保你連接到正確的IP地址，但在你的計算機和這些IP地址之前的通信仍然可能受到監控。”

York稱，對于政府控制大量域名的說法也不完全正確。

“國家代碼頂級域名(ccTLD)通常由政府控制，這些都是兩個字母的域名，例如.ly和.nl，”York表示，“而大多數通用頂級域名(gTLD)都是由不同的注冊機構控制，例如.com、.org

以及新的gTLD--.bank、.foo、.photos等，并且，這些注冊機構幾乎都是私營公司，其中大部分是商業公司。”

雖然很多ccTLD由政府控制，最流行的ccTLD(例如.de和.uk)并不是由德國和英國政府控制，而是由私營公司控制。York稱，對于有些由政府控制的gTLD，用戶應該首先檢查他們是否擔心在這些域名泄露信息，但監控并不是政府控制的問題。

“由于ccTLD運營商控制ccTLD的域名注冊，他們當然可以更改你域名的記錄，指向另一組DNS域名服務器，從而將你域名控制器交給另一個DNS運營商(這可能是他們自己)，然后又更改DNS記錄指向另一個網站，”York稱，“DNSSEC在這里并不重要，因為ccTLD運營商可以控制TLD中的記錄。”

根據Levin表示，這種情況幾乎不可能發生，因為在信任鏈中有人會注意到異常情況。

“是的，政府會侵入所有地方，但考慮到現在的CA系統已經非常糟糕，我們沒有理由相信DNSSEC會更糟，”Levin稱，“此外，DNSSEC很難在不被發現的情況下受到攻擊，因為人們很認真看待DNS，并且有很多冗余。”

Levin說， DNSSEC也許并不完美，但與證書頒發機構的問題相比，DNSSEC其實更好。同時，他表示可以理解為什么DNSSEC的部署進展緩慢，因為目前沒有主流Web瀏覽器可以接受使用DNSSEC的TLS。

“它非常復雜，而且工具很糟糕。我的服務器有大約300個DNS區，雖然我全部在本地簽名，但簽名都會被忽略，除非更高級的DNS區使用DS(授權簽字人)記錄鏈接到我的密鑰，”Levin稱，“DNSSEC有兩種類別，被稱為NSEC和NSEC3。如果你使用NSEC，別人很容易列舉你的區，即找出你的DNS區中所有的域名，這在有時候可能不方便操作。”當使用NSEC時，有關有效域名的信息被添加到針對不存在域名請求的DNS回復中;而在NSEC3中，這些信息會被模糊處理。

Levin稱，即使“使用被動DNS，別人都可以非常接近你的DNS，而你無法阻止這一點。NSEC3解決了列舉問題，但它讓DNSSEC變得比現在更加復雜，讓更新DNS區等操作變得更加困難。”

York也承認，DNSSEC協議也有問題，包括新增的操作要求、更大的DNS數據包、缺乏保密性，并可能使系統更容易攻破。不過，York稱，最后一個問題可以通過很多安全技術來應對。

“從歷史上來看，DNS服務器經常看到網絡管理員設置的條條框框，然后通常忽視它們，因為可能影響其運行。添加DNSSEC需要對DNS服務器進行一些額外的操作，”York稱，“由于簽名，DNSSEC會讓DNS數據包變得更大，這可能影響網絡流量，而緩解這個問題的一種方法是使用具有較小密鑰的簽名。”

York表示，目前互聯網工程任務組的DPRIVE工作組正在開展工作以保護計算機和DNS服務器之間的連接，以確保試圖監控你流量的人不會看到通過本地網絡發送的數據包中的DNS查詢。同時，針對DNSSEC很多常見的問題的解決方案正在開發中。

“DNSSEC協議的優點在于，它從一開始就被設計為可以不斷發展，”York稱，“與安全問題和安全算法一樣，該協議也可以不斷進化。”