ICANN опубликовала подробное руководство о том, чего следует ожидать во время обновления KSK в корневой зоне

[mxms]

О, только сегодня статью опубликовал с прицелом на практику.

[Prototik]

Если кратко и без воды — если у вас есть рекурсивный dns сервер и на нём включена валидация dnssec — добавьте второй ключ в доверенные. Вот, например, для dnsmasq оба ключа:

prok@wendy:~$ cat /usr/share/dnsmasq-base/trust-anchors.conf
# The root DNSSEC trust anchor, valid as at 10/02/2017

# Note that this is a DS record (ie a hash of the root Zone Signing Key) 
# If was downloaded from https://data.iana.org/root-anchors/root-anchors.xml

trust-anchor=.,19036,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
trust-anchor=.,20326,8,2,E06D44B80B8F1D39A95C0B0D7C65D08458E880409BBC683457104237C7F8EC8D