Úplně nulovou pravděpodobnost garantuje jen odpojení od sítě (což z druhé strany může být bráno jako úspěšný útok DoS), ale limitně nulovou třeba správně implementovaná kryptografie na přenosové vrstvě (např. TLS) která stejně je potřeba i pokud by perfektně fungovalo DNSSSEC.
Proti otrávení cache rekurzivního serveru existují mnohem jednodušší obrany než DNSSEC, to je v tomto případě kanón na vrabce.
A rozhodně nesouhlasím s vaší poslední větou - pokud se některý ze serverů po cestě rozhodně implementovat DNSSEC tak je přeci mnohem jednodušší mu přetížit CPU! Z tohoto důvodu považuji všechny otevřené resolvery které podporují DNSSEC za nespolehlivé, stačí jim poslat dostatek dotazů na domény zabezpečené DNSSEC (klidně pomocí UDP paketů s podvrženými zdrojovými adresami) a koukat co to s nimi udělá...