Мог DNSSEC на уровне n управлять зоной на уровне n+2?
По любому стандарту это - много записей. Там существуйте много методов для работы с большими объемами данных, но... нет никакого возможного способа, которым любой может предоставить мнение далее без намного большего количества информации о проблеме, которую Ваш друг пытается решить.
Ваши родители всегда имеют способность смешать с Вашей зоной. К сожалению, необходимо доверять им.
Технически, .de подписал бы запись DS, которая является хешем DNSKEY, который используется для подписания example.de. Если .de делает правильную вещь и указывает на корректные ключи example.de, то не они не могут смешать с данными. Проблема состоит в том, что .de может также указать на их собственные изготовленные ключи, и их собственные серверы имен для example.de и таким образом "принимают его". Они могут даже запросить Ваши собственные серверы example.de для зеркального отражения всех данных, но те они хотят измениться.
Так... Да, .de может принять example.de и нет очень для делания с этим, если Вы не убедили клиенты там использовать сам DNSKEY example.de в качестве доверительной привязки. Который я подозреваю, что некоторая корпоративная среда могла бы сделать (доверяйте их ключу компаний, таким образом, они не должны требовать, чтобы восходящий поток был стабилен). Но обычно никто не будет делать это, поскольку это не масштабируемо для поддержания набора доверительных привязок.
Что касается Вашего прародителя (корень, в Вашем примере), для них для питания с внуком они должны были бы принять родителя и опубликовать новые ключи для них также. Таким образом, корень одинаково мощен и может принять все под ним, но они должны сделать так путем приема во всех детей не только внуки или grandgrandchildren.