Важный момент про DNS-over-TLS (DoT) и DNS-over-HTTPS (DoH): в случае, когда валидацию DNSSEC проводит внешний рекурсивный резолвер, использование DoT/DoH на последней миле позволяет эффективно продолжить цепочку доверия DNSSEC до клиента; правда, через дополнительный шаг  аутентификацию сервера в рамках TLS. То есть, если некоторый клиентский stub-резолвер использует гугловый сервис 8.8.8.8 и доверяет его валидации DNSSEC, [&]

https://dxdt.ru/2020/11/22/8980/