DNSSEC ne fait pas appel à une infrastructure PKI a proprement parler (pas de certificats X.509) ni de validation distante par une clé privée. Le mécanisme de validation consiste à déclarer sa confiance dans la clé publique d'un (sous)domaine racine, ce qui est assez simple (la clé se récupère par une requête DNS).

En ce qui concerne l'augmentation de taille des paquets le service DNS va simplement utiliser TCP au lieu de UDP.

En gros il y bien un ralentissement, mais à l'époque du multimédia, rien de comparable avec de l'audio ou de la vidéo en ligne, c'est donc parfaitement supportable avec une machine dédiée.

DNSSEC marche très bien tout le monde devrait s'y mettre (on peut d'ailleurs commencer avant que le domaine racine s'y mette). Ceux qui trouvent cela compliqué peuvent changer de métier ! A quand un .fr en DNSSEC ?