DNS に依存している 腐り沈みゆく船 (DNS) の上に継ぎ足しで新しい船を築くのは愚か DNSSEC は難しすぎる 強度の弱い暗号を用いているため、鍵を定期的に更新しなければいけない (そして失敗) 鍵を証明する情報を定期的に上位組織 (委任元) に預けて署名し直してもらわなくてはいけない (そして失敗) ルートの鍵を証明する情報を定期(?)的に世界の検証サーバたちに配布し直さなくてはいけない (歴史上始めての更新が今年行われつつあり障害発生が危惧されている) 運用事業者の移管の際に事業者間で安全に鍵を受け渡すことが困難 運用事業者の移管の際に一旦署名を外すのは安全性と可用性を下げる DNSSEC 署名対応事業者から非対応事業者への移管で事故も起きている (移管元も移管先も委任元に預けた鍵情報を消さなかったのが原因 / 一部の有志たちが作成したガイドラインがあって移管先が消すことになっ