В компании-клиенте был предложен план аварийного восстановления, который отказывался бы от DNSSec на обычный DNS в случае
1) Серьезный сбой сайта, требующий изменения многих записей DNS.
2) Проблема с DNSSec, которая оправдывает восстановление после сбоя.
3) Проблема с нашим провайдером DNSSec уровня 1.
Есть ли какие-либо предсказуемые проблемы при отказе функциональной реализации DNSSec к "обычному" DNS?
Основная проблема с отменой подписи вашей зоны заключается в том, что записи DS должны быть удалены из родительская зона задолго до того, как вы откажетесь от подписи своей зоны - вам следует дождаться истечения срока действия этих записей из кешей, прежде чем удалять свои DNSKEY и RRSIG. Если какой-то кеш по каким-то причинам хранит записи DS, он вообще откажется использовать вашу неподписанную зону.
Кроме того, если вы (то есть преобразователи, запрашивающие вашу зону) используете DLV, ваша зона также должна быть удалена из DLV. Сегодня никто не должен использовать DLV. ПО МОЕМУ МНЕНИЮ.
Примерно то же самое и в «обычном» DNS - когда вы хотите изменить сервер имен, вы удаляете старые серверы имен только после истечения срока действия NS TTL.
Самая большая проблема с DNSSEC заключается в том, что люди думают, что это что-то чрезвычайно сложное. ПО МОЕМУ МНЕНИЮ. DNSSEC не сложнее DNS и SSL, и каждый использует их, даже не подозревая, что они сложны.