Doma DNSSEC na resolveru mám a nepamatuju si, že bych tam něco tunil. A pokud použiješ třeba resolvery CZ.NIC (https://www.nic.cz/odvr/), tak nenastavuješ nic tuplem.
K té bezpečnosti: DNS je černá skříňka. Hodíš do ní URL, vypadne IP adresa. Ty si ji nemáš jak zkontrolovat, protože ji neznáš (a kdybys ji znal, tak se nemusíš vyptávat). Takže místo adresy banky xxx.xxx.xxx.xxx dostaneš adresu útočníka yyy.yyy.yyy.yyy a ani o tom nevíš. A dělá se to jednoduše, stačí třeba unesení komunikace s autoritativním DNS domény. Proto vzniklo DNSSEC, tam majitel stránky podepíše záznam a když to nesedí, tak se nepřipojíš a vyhodí to chybu.