Ouais, enfin encore faut-il que les zones interrogées par le résolveur soient sécurisées pour que ça ait un intéret, ce qui est loin d'être une généralité vu la complexité de mise en oeuvre. Par exemple, d'après cet article (de 2015, ça a pu évoluer mais j'ai comme un doute), aucune banque française ne protège ses zones DNS avec DNSSEC... Ils ont déjà tellement de mal avec HTTPS...
(Les miennes le sont car elles sont hébergées chez Cloudflare et c'est eux qui gèrent cette problématique, pour peu qu'on leur fasse confiance...).
Je suis d'accord avec le fait que DNSSEC est moins prioritaire que mettre en place HTTPS correctement. En revanche, je ne suis pas sûr de voir la "complexité de mise en oeuvre" de DNSSEC.
Mais de toute façon les utilisateurs
- pour la plupart ne savent pas ce qu'est DNSSEC,
- et ceux qui connaissent ne verront même pas qu'il y a une enregistrement signé par DNSSEC
- et
ceux qui le remarquent ne sauront même pas si une signature est manquante (et non incorrecte)
Comment veux-tu vérifier des signatures si en règle générale rien n'oblige à ce qu'une telle signature existe?
Est-ce que tu vas traiter une signature manquante comme une erreur?