Responder todas estas preguntas de una sola vez está algo fuera del alcance de un sitio de preguntas y respuestas. Te daré una idea:
DNSSEC protege los datos DNS de un servidor, lo que significa que cuando su navegador intenta conectarse a un servidor, necesita buscar su dirección IP. Esta dirección IP se consulta a través de los servidores DNS configurados en su sistema operativo (Google proporciona algunos bajo 8.8.8.8 y 8.8.4.4). Usualmente, su sistema utilizará el sistema de resolución de DNS que proporciona su ISP (proveedor de servicios de Internet).
Dado que el propietario de un dominio no instruyó directamente a la resolución de DNS de su ISP, consultará a un servidor de nombres autorizado para ese dominio (NS). ¿Cómo sabe, por ejemplo, que su ISP no cambió la dirección IP del sitio web al que intenta acceder? ¡Ahí es donde entra en juego DNSSEC!
Cada dominio (por ejemplo, .com, .net, .org) está dentro de la zona raíz del DNS. En la zona raíz hay claves (públicas) proporcionadas por los operadores de esas subzonas (por ejemplo, .com). En el caso de .com es VeriSign *. En la zona DNS .com hay más de una clave para cada dominio individual si es compatible con DNSSEC.
Supongamos que tiene su dominio example.com en Namecheap y habilitó DNSSEC. El registro DNS se obtiene primero de los servidores NS de Namecheap, que clasificaron el registro. Su navegador puede verificar ahora si el registro es válido de acuerdo con esa clave y luego subir un nivel en la cadena para ver si su clave para example.com se encuentra en la zona .com. La zona .com está firmada por una clave que se encuentra en la zona raíz del DNS, que mantiene la ICANN.
A diferencia del TLS / SSL clásico, no necesita una entidad de certificación (CA) como COMODO, ya que cada registro se remonta a la zona raíz del DNS. Lo que necesita en cambio es un registrador de dominios (Namecheap, GoDaddy) que admita DNSSEC y un dominio que admita DNSSEC, ya que no todos los dominios admiten (por lo tanto, tienen claves en la zona raíz) como, por ejemplo, .com.
Los navegadores modernos no tienen activadas las comprobaciones DNSSEC de forma predeterminada. Esperemos que eso cambie en el futuro. Sin embargo, esto no significa que DNSSEC no proporcione seguridad, ya que es probable que los servidores dns de su ISP verifiquen donde sean válidos los registros que obtuvo y, si no, no resuelvan el nombre de dominio en una dirección IP.
* Ejemplo confuso ya que VeriSign es una CA clásica y opera zonas de dominio.