IANA er i gang med å bytte rot-nøkkelen (KSK) for DNSSEC-infrastrukturen. Selve nøkkelskiftet er planlagt å skje 11. oktober; da vil den nye rotnøkkelen signere DNSKEY-settet i rot-sonen. Se IANAs websider for mer informasjon om dette.
I utgangspunktet skal nøkkelendringen ha liten innvirkning på registrar- og registry-virksomheten. Norid publiserer sonene sine som før, og det samme gjør registrarene.
De som driver rekursive navnetjenere/resolvere (for intern bruk eller for kunder) med DNSSEC-validering påslått må sjekke at disse tar i bruk den nye nøkkelen (trust anchor) i konfigurasjonen.
- Resolvere som er konfigurert til å bruke algoritmen fra RFC-5011 for å holde denne informasjonen oppdatert skal allerede ha fått lagt til den nye nøkkelen i konfigurasjonen.
- Resolvere der denne informasjonen vedlikeholdes manuelt må nå få lagt inn informasjon om ny nøkkel.
Merk at dersom dette ikke er korrekt konfigurert til den 11. oktober, så vil validering, og dermed DNS-oppslag, mot disse navnetjenerne begynne å feile.
På IANAs websider finnes det også informasjon om hvordan kontrollere og eventuelt endre konfigurasjonen for flere forskjellige typer navnetjenerprogramvare.