Что DNS-сервер может дать недостоверный ответ. По злому умыслу администратора, его небрежности, из-за злонамеренных действий третьих лиц и еще десятку причин.
Чем же отличается верифицированный ответ с NS записями следующего уровня, от верифицированного конечного ответа конечного сервера? Если исходить из злого умысла, то и "авторитет" можно дать не тому кому надо.
CAA и DNSSEC вкратце: как, зачем и поверхность атаки