Вторичный сервер имен DNSSEC

У меня есть этот скрытый главный DNS-сервер имен, уведомляющий и обновляющий два общедоступных подчиненных DNS-сервера:

мой собственный VPS под управлением Debian / Bind9 DNS
Сторонний поставщик вторичного сервера имен (fear.org)

Наконец-то я получил DNSSEC, работающий со скрытым мастером и моим общедоступным подчиненным сервером (VPS).

Сейчас я постоянно ищу вторичного поставщика услуг сервера имен, который ТАКЖЕ может поддерживать DNSSEC. Я не мог найти ни одного. Я не мог понять почему.

Затем я увидел эту подсказку GoDaddy Secondary NameServer вики:

«Вы не можете использовать DNSSEC и вторичный DNS с одним и тем же доменным именем».

Почему третья сторона не может предоставить дополнительный сервер имен с DNSSEC?

Как уже отмечалось, процитированное заявление - это заявление одного поставщика услуг, которое отмечает ограничение в их собственном сервисе, и это не универсальная правда.

Все, что действительно необходимо для того, чтобы сделать то, что вы просите сделать, это следующее:

Подчиненный сервер имен получает точную копию всех данных зоны (включая открытые ключи, подписи, все), например, что происходит при обычной передаче зоны (AXFR/IXFR), и просто дословно использует полученные данные зоны, не возиться с ними.
Программное обеспечение подчиненного сервера имен поддерживает DNSSEC. Т.е. поддерживает EDNS0, знает, как действовать с соответствующими флагами DNSSEC в полях заголовка / EDNS0 (например, возвращает соответствующие RRSIG/NSEC в ответах на запросы, запрашивающие DNSSEC).

Что касается того, почему поставщик услуг, упомянутый в вопросе, не может этого сделать, вам действительно нужно будет направить ему вопрос, чтобы получить правильный ответ.
Может быть, они используют какое-то нестандартное или устаревшее программное обеспечение для серверов имен, которое не соответствует вышеуказанным требованиям? Может быть, это какое-то политическое решение, даже не чисто техническое?

Если вы посмотрите на поставщиков услуг, которые больше внимания уделяют хостингу DNS, у меня сложится впечатление, что требования, подобные приведенным выше, обычно не являются проблемой (при условии, что у них в первую очередь есть опция подчиненного сервера имен).

Это не универсально верное утверждение. Вероятно, это либо их собственное ограничение, либо пытается сказать, что вторичный сервер имен не может подписывать записи. Когда DNSSEC включен, подписывает основной сервер имен. Следовательно, это также единственный авторитетный сервер имен, который должен хранить закрытый ключ подписи. Затем любые вторичные серверы имен должны иметь возможность передавать уже подписанную зону с помощью передачи зоны AXFR.

Я использую ClouDNS в качестве вторичного DNS для подписанных DNSSEC зон, и он работает без проблем (но вам нужна платная учетная запись для вторичных).

freedns.42.pl предоставляет бесплатные DNS-серверы (как первичный, так и вторичный) и, насколько я помню, вторичные серверы без проблем поддерживают DNSSEC.