Wann werden DS-Einträge gewechselt?
Dies hängt von der Implementierung der Registry ab. Zonen-Reloads der DNSSEC-signierten TLD-Zone finden üblicherweise nicht sofort nach Änderung eines DS-Eintrags statt, sondern zu festgelegten Zeiten in festgelegten Intervallen. Für das .de-Testbed ist beispielsweise ein Zonenreload pro Tag vorgesehen.
Da bei einem KSK-Rollover auf die Veröffentlichung des DS-Entries in der TLD-Zoneg gewartet werden muss, ist es durchaus von Interesse, wann eine Registry die Einträge veröffentlicht. Eine einfache Lösung in diesem Beispiel wäre es, mindestens 24 Stunden plus Karenzzeit zu warten, damit der Reload in jedem Fall durchgeführt wird.