Пока я переносил домены с регистратора умеющего DNSSEC на регистратор
без онного, то понял что не знаю как это надо было делать правильно и
штатно, чтобы DNSSEC при этом оставался рабочим. При переносе на REG.RU
DS запись в RU. остаётся живой и в интерфейсе её не увидеть, не удалить.
Поддержка по запросу удалила.
Пока со всем этим разбирался, то оказалось что подписи для моих основных
доменов (STARGRAVE.ORG и другие) протухли аж с конца апреля. У меня был
настроен cron, приходили уведомления, но что-то где-то шло не так. Так и
не выяснил почему, да и чёрт с ним.
В общем в DNSSEC я допустил наверное все возможные ошибки и у меня
сильное ощущение что я кучу всего так и не понял. В итоге я удалил
DNSSEC со всех доменов. Всё же DNSSEC НЕ защищает от правительств и
силовых структур. А криптография, как известно, или защищает от детей
или от правительств. Мне интересна только последняя: или защищает или
будем считать что нет. Трудозатраты на поддержку DNSSEC достаточно
велики чтобы защищаться от не сильных мира сего.
Кстати когда DNSSEC исчез, то поток спама ощутимо увеличился. Получается
что спаммеры используют DNSSEC-aware серверы :-)