Продвижение DNSSEC обновляет с офлайновыми ключами
Вы могли бы попытаться вызвать запрос AAAA:
nslookup -type=aaaa ipv6.google.com
Также имейте в виду, что nslookup не очень хорош в том, что он, как предполагается, делает.
Ваша проблема заключается не столько в ротации ключей, сколько в истечении срока действия RRSIG .
Как правило, время жизни ключей измеряется в масштабе от 6 месяцев до 3 лет, и все чаще появляются мнения, что говорит, что вам вообще не следует менять ключи.
Однако, чтобы избежать атак повторного воспроизведения, вам необходимо регулярно повторно подписывать все свои записи, а срок действия RRSIG обычно соответствует период от 1 до 2 недель.
Если вы подписали зону самостоятельно и передали ее на хост, вам нужно будет делать это перед каждым событием истечения срока действия RRSIG,в то же время с учетом истечения срока действия TTL и т. д. (см. draft-ietf-dnsop-dnssec-key-time и RFC 4641 ).
Если ваш DNS-провайдер что-то делает соответственно, у них должен быть (очень) долговечный ключ для подписи ключа , который должен храниться в аппаратном модуле безопасности и подключаться к сети только при необходимости, что должно быть эффективно непроницаемым.
Только зона Ключ подписи затем необходимо сохранить в сети.