DNSSEC y DNSCurve esencialmente hacen lo mismo. Permiten que un cliente verifique que los registros en una respuesta de DNS son idénticos a lo que el propietario de la zona configuró inicialmente. No son a prueba de balas; Las zonas principales, los registradores y los registros aún pueden hacer lo que quieran con las zonas para las que tienen autorización directa o indirecta. Pero sigue siendo mejor que nada.
Para que esto funcione, las zonas obviamente tienen que estar firmadas.
Las zonas firmadas con DNSCurve son virtualmente inexistentes. El hecho de que agregue cifrado es, en la práctica, completamente inútil; dado el número de zonas firmadas, el tamaño del paquete es suficiente para adivinar cuál es la consulta.
DNSSEC está recibiendo algo de tracción, pero su implementación sigue siendo bastante lenta. Aún así, sigue siendo mucho más implementado que DNSCurve, y las herramientas populares como openssh y los servidores de correo pueden aprovecharlo.
El escenario más seguro es cuando el propio cliente realiza la verificación. O al menos, si confía en su red local, en el enrutador. Ahora que dnsmasq admite la validación de DNSSEC, los firmwares del enrutador también comienzan a admitirlo.
Ahora, al utilizar un sistema de resolución de terceros y no realizar ninguna validación en su propia red, usted:
1) ciegamente confía en lo que te envía la resolución.
2) incluso si la resolución le envía una respuesta correcta, el segmento de red entre la resolución y su cliente sigue siendo vulnerable a la falsificación de DNS.
Si usted es un cliente de Comcast, la resolución de DNS está lo más cerca posible de su enrutador, y su conexión ya depende completamente de Comcast.
Si está utilizando otro sistema de resolución de terceros, cada salto entre su enrutador y ese sistema de resolución se puede usar para secuestrar las respuestas.
Por lo tanto, la mejor opción sigue siendo utilizar un sistema local de resolución de validación de DNSSEC como Unbound.
Malware no se preocupa por DNSSEC o DNSCurve. Una vez que su computadora está infectada, la mayoría de los programas maliciosos pueden inyectar directamente lo que quieran en su navegador y cambiar su configuración de DNS si es necesario.
La privacidad es un tema completamente diferente, en el que se comenzó a trabajar (consulte DNS consideraciones de privacidad RFC).