Si observa todos los exámenes de DNSSEC, verá que la zona incluye no solo el DNSKEY, sino también un RRSIG del DNSKEY creado con ese mismo DNSKEY. ¿Por qué es esto? ¿Por qué publicar un RRSIG autofirmado? ¿Qué seguridad agrega?
ACTUALIZACIÓN: De hecho, el RFC lo especifica, aunque no dice por qué: enlace : " el vértice del niño DNSKEY RRset DEBE estar firmado con la clave privada correspondiente "
El registro RRSIG es la prueba de que el titular de una clave determinada publicó un cierto conjunto de RR.
Cuando la entidad principal publica un registro de DS en la zona principal, básicamente dice "hemos recibido pruebas de que la entidad a la que hemos hecho esta delegación también está en posesión de la clave con el hash que publicamos en nuestro registro de DS " (una especie de declaración recursiva, pero espero que lo consigas).
Este hash debe coincidir con el DNSKEY encontrado en la zona secundaria para que DNSSEC lo valide. Se podría decir que una coincidencia en esta etapa sería prueba suficiente de que la delegación es válida. Pero al firmar el DNSKEY RRset real, también puede estar seguro de que los datos dentro de la respuesta DNSKEY provienen realmente del titular de la clave que coincide con el registro DS.
Sin la firma, los datos DNSKEY podrían ser maliciosos. Realmente no puedo idear un ataque en este punto, pero es mejor prevenir que lamentar, ¿no?
Lea otras preguntas en las etiquetas public-key-infrastructure dnssec