Es liest sich so, als wenn das manche Leute denken würden:
Gerne verweisen sie darauf, dass DNSSEC kein Allheilmittel für die Absicherung des DNS ist. “Nach allem, was wir wissen, wäre der jüngste Angriff auf Server der IANA und ICANN nicht durch DNSSEC verhindert worden, denn dabei wurden die Domains beim Registrar gekapert”, sagt Dittler. Verhindert werden könne eben nur eine Manipulation auf der Strecke, nicht an der Quelle selbst. Die Umleitung des Datenverkehrs von Youtube kürzlich wäre ebenfalls durch eine DNSSEC-Signatur nicht verhindert worden. “Das war ein reines Routing-Problem.” Auch gegen die Fälschung der BGP-Routen suchen die Experten gerade ein Mittel – dafür braucht es ein weiteres PKI-System, parallel zu DNSSEC.
man kann auch beides kombinieren:
http://tools.ietf.org/id/draft-donnerhacke-sidr-bgp-verification-dnssec-04.txt