Die Verbreitung von DNSSEC gestaltet sich bisher vor allem aufgrund der komplexen Voraussetzungen schwierig: Sowohl auf Seiten des Anbieters einer Webpräsenz als auch auf Seiten des Besuchers muss die Technik unterstützt werden. Domain-Inhaber sind darauf angewiesen, dass der Registrar die Verschlüsselung unterstützt und in die Wege leitet. Nutzer haben keinen Einfluss darauf, ob eine Website durch DNSSEC-Signaturen geschützt ist, und benötigen außerdem einen validierenden Resolver. Um von der DNS-Security Gebrauch zu machen, müssen sie also entweder einen eigenen Resolver wie Bind betreiben, Browser-Erweiterungen wie den DNSSEC Validator nutzen oder nach einem Provider suchen, der DNSSEC-Signaturen überprüft. In jedem Fall sollte der Aspekt berücksichtigt werden, dass DNSSEC lediglich die Namensauflösung signiert bzw. authentifiziert, während die übermittelten Daten keinerlei Schutz erfahren. Eine Kombination mit verschlüsselnden Übertragungsprotokollen wie TLS gehört folgerichtig zum Pflichtprogramm.
Zusätzlich sind folgende Probleme ursächlich für die zögerliche Akzeptanz der DNS-Sicherheits-Technik:
- Aufgrund der höheren Auslastung des Nameservers werden Denial-of-Service-Angriffe, die die Nichtverfügbarkeit eines Dienstes herbeiführen, erleichtert.
- Die DNSSEC Chain of Trust ist insofern gefährdet, dass die Public Keys ebenfalls über das Domain-Name-System verteilt werden.
- Ohne einen eigenen validierenden DNS-Resolver besteht die Möglichkeit, dass ein Angriff zwischen Client und dem Nameserver des Providers erfolgt, selbst wenn dieser DNSSEC-Signaturen verifiziert.
Auf andere Schwachstellen wie das sogenannte DNSSEC-Walking, bei dem Angreifer den vollständigen Inhalt einer DNSSEC-signierten Zone auslesen, wurde bereits reagiert, indem neuere Resolver-Versionen die verschiedenen Resource Records nicht mit einem Klartext-Label, sondern einem Hashwert benennen.