ドメイン名を転送し、NSレコードをDNSSECを無効にせずに変更した後、伝播時間が長くなる

誰もがそう言ってもDNSには実際の「伝播」がないという事実に加えて（変更のフローは上から下に適用されないが、事物は「下」の再帰ネームサーバーからフェッチされるため）、その領域で何が起こってもほとんどの場合、DNSSECを使用する場合と使用しない場合に直交しています。

DNSSEC署名済みドメインのネームサーバーの変更（レジストラを変更しなくても発生する可能性があります）は、確かに現在も問題です。これにはさまざまなヘルパーがありますが、一般的なソリューションはなく、ネームサーバーの現在の（古い）オペレーターが協力したくない場合は特に困難です。

DNSレコードにはTTLがあり（伝播についてよく言われることです）、DNSSECはRRSIGレコードを導入し、特定の各署名の開始時刻と終了時刻の両方をエンコードすることを覚えておく必要があります。

あなたの質問には実用的な詳細がありませんが、起こっている可能性があるのは、世界中の再帰的キャッシュ、または少なくともテストしたものが、さまざまなTTLを含む以前のDNSKEY、DSおよびRRSIGレコードをキャッシュしたことです。TTLはさまざまなエンティティによって制御されます：ネームサーバー自体のTTLはレジストリによって設定され、DSレコードは親にのみ存在します。ここで、以前のDNSKEY/RRSIGレコードのTTLは以前のオペレーターによって設定されますネームサーバーの子ゾーンに住んでいます。

変更におけるDNS関連の問題はDNSSEC関連の問題とは異なることに注意してください。たとえば、新しいコンテンツが表示されない場合（キャッシュにまだ古い値が含まれているため）、NXDOMAIN応答が返されます（レコードは存在しません）。または、TTLを含む以前の古いレコード。ただし、DNSSEC関連の問題がある場合は、SERVFAILの応答が返されます。

問題を解決するために私ができることはありますか？

正直なところ、その段階では、実際に役立つのに十分な詳細で問題を説明していません。正確にどの段階にあるか、どのようにキャッシュされるか、そして何が正確に失敗するかによって、最良のアクションは異なる場合があります。ドメインが生命にかかわらない場合、問題が解決するのを待つことは、おそらく最も健全で単純な行動方針です。

その他の可能なヘルプ（さらに多くの問題が発生する可能性があるため、すべては不明な詳細に依存します）：

• 今のところ古いネームサーバーに切り替えます（後で再適用する場合でも、変更前にDNSSECを削除する可能性を含めて、後で適切に変更を処理する時間があります。悲しい方法ですが、時には唯一の実用的な方法）
• 新しいネームサーバーが同じDNSKEYおよびRRSIGレコードを提供するようにする（少なくとも現在のエントリがすべてのキャッシュから期限切れになるまで）
• DSレコードがレジストリ側から削除されていることを確認します（この場合かどうかにかかわらず、説明から十分に明確ではありません）。

このページでは、署名された転送を処理する方法についてのヒントをいくつか提供します。 https://help.dyn.com/transfer-a-dnssec-signed-zone/ そして、このIETFドラフトもあります。主題に関する多くの知恵をコンパイルします： https://tools.ietf.org/html/draft-koch-dnsop-dnssec-operator-change-06 その要約を引用します：

DNSゾーンのDNS委任を変更することは、書籍で行われた場合はかなり複雑ですが、ほとんどの場合、レジストリとレジストラを使用して、トップレベルでの今日の運用慣行で実用的に処理されました。このドキュメントでは、DNSSECの下で一貫性と検証を維持する委任変更手順について説明します。

また、一部のレジストリはそのような場合に特定の指示を与える場合があるため、TLDに依存します。

• 一部のレジストリでは、レジストラは特にDNSSEC認定を受けている必要があり、DNSSEC対応ドメインを非DNSSEC認定レジストラに転送することはできません。
• 一部のレジストリ（.FRなど）では、転送中にDSレコードを保持またはダンプするかどうかを指定する必要があります
• 一部のレジストリ（.NLなど）では、特定のEPP拡張（keyRelay）を使用して、DNSSECが有効なドメインの適切な転送に必要なキーを協力するレジストラが交換できるようにします（ただし、問題はレジストラ、ただしレジストラを変更しない場合でも発生する可能性があるネームサーバーの変更）。