¿La configuración de DNSSEC en el cliente (resuelto por el sistema) con la opción allow-downgrade tiene algún valor? ¿Mejora la seguridad en absoluto?
Sí, como indica la página de manual de resolution.conf :
Los programas del cliente que buscan datos DNS se informarán si las búsquedas se pueden verificar mediante DNSSEC o si los datos devueltos no se pudieron verificar (ya sea porque los datos se encontraron sin firmar en el DNS o si el servidor DNS no es compatible con DNSSEC o no se conocían los anclajes de confianza apropiados). En este último caso, se supone que los programas cliente emplean un esquema secundario para validar los datos DNS devueltos, en caso de que sea necesario.
Por lo tanto, los programas cliente pueden hacer un uso adecuado de la respuesta, ya sea advirtiendo al usuario de que no hay validación de dnssec o mostrando la validación de dnssec.
Lea otras preguntas en las etiquetas dnssec