Rispondere a tutte queste domande in un colpo solo è al di fuori della portata di un sito di domande e risposte. Ti fornirò alcune informazioni:
DNSSEC protegge i dati DNS di un server, il che significa che quando il browser tenta di connettere un server, deve cercare il suo indirizzo IP. Questo indirizzo IP viene interrogato tramite i server DNS configurati nel sistema operativo (Google fornisce alcuni sotto 8.8.8.8 e 8.8.4.4). Sicuramente il tuo sistema utilizzerà il resolver DNS fornito dal tuo ISP (provider di servizi Internet).
Poiché un proprietario del dominio non ha istruito direttamente il resolver DNS del proprio ISP, interrogherà un server dei nomi autorevole per quel dominio (NS). Come fai a sapere ad esempio che il tuo ISP non ha modificato l'indirizzo IP del sito web a cui stai tentando di accedere? Ecco dove entra DNSSEC!
Ogni dominio (ad esempio .com, .net, .org) si trova all'interno della zona radice DNS. Nella zona radice ci sono le chiavi (pubbliche) fornite dagli operatori di tali sottozone (ad esempio .com). In caso di .com è VeriSign *. Nella zona DNS .com sono presenti chiavi per ogni singolo dominio se supporta DNSSEC.
Supponiamo che tu abbia il tuo dominio example.com su Namecheap e abilitato DNSSEC. Il record DNS viene prima recuperato dai server NS di Namecheap, che hanno cantato il disco. Il tuo browser può verificare ora se il record è valido in base a quella chiave e poi salire di un livello nella catena per vedere se la tua chiave per example.com si trova nella zona .com. La zona .com è firmata da una chiave trovata nella zona radice DNS, che è gestita dall'ICANN.
Diversamente dal classico TLS / SSL non hai bisogno di un'autorità di certificazione (CA) come COMODO, poiché ogni record viene ricondotto alla zona radice DNS. Quello che ti serve invece è un registrar di domini (Namecheap, GoDaddy) che supporti DNSSEC e un dominio che supporti DNSSEC, poiché non tutti i domini supportano (quindi ha le chiavi nella zona radice) come ad esempio .com.
I browser moderni non hanno i controlli DNSSEC abilitati per impostazione predefinita. Speriamo che cambi in futuro. Tuttavia, ciò non significa che DNSSEC non offra sicurezza, dal momento che i server DNS dell'ISP probabilmente controlleranno ovunque i record siano validi e se non risolvono il nome del dominio in un indirizzo IP.
* Esempio di confusione poiché VeriSign è sia una CA classica che gestisce zone di dominio.