Hola Miguel,

Si el registro DS está aún en la zona padre y desactivas DNSSEC en tu servidor autoritativo... entonces todos los resolvers que tengan habilitado DNSSEC te van a ver como NXDOMAIN: Eso quiere decir, el comportamiento sería el mismo que si hubieses apagado tus servidores. **NO LO HAGAS**

Si necesitas migrar servidores DNS, tienes 2 opciones... y en ambas deberías tener que interactuar con tu zona padre.

Estas opciones suponen que tú no tienes acceso al material criptográfico de DNSSEC y que ese servicio lo da un tercero, que no puedes manejar personalmente:

OPCION 1: Hacer la transición dejando de usar DNSSEC durante el cambio:

1. Sacar el registro DS de tu zona padre (Si tienes un .CL hacerlo en NIC Chile)

2. Esperar que pasen los TTL correspondientes de tu zona

3. Desactivar DNSSEC de tu proveedor

4. Esperar TTLs. Chequear en dnsviz.net (ver opcion update now cada vez que vayas a hacer una nuevo chequeo para no ver caché antiguo)

5. Hacer la migración al nuevo proveedor/hosting (con los cambios correspondientes de NS en la zona padre)

6. Esperar TTLs

7. Activar DNSSEC en nuevo hosting

8. Esperar TTLs. Chequear con dnsviz

9. Publicar nuevo registro DS en la zona padre.

10. Chequear en dnsviz.net

11. Desactivar el proveedor antiguo.

OPCION 2: Continuar firmando con DNSSEC durante la transición

1. Hacer una copia de la zona DNS "plana" (sin dnssec) al proveedor nuevo

2. Activar DNSSEC en el proveedor nuevo

3. Subir el nuevo registro DS a tu zona padre y agregarlo. Ojo con no borrar el DS anterior y no mezclar los algoritmos DS (si tu DS antiguo tenía digest 1 o 2 o ambos, mantenerlos y agregar los equivalentes del nuevo dominio)

4. Esperar TTL de la zona padre y chequear con dnsviz.net

5. Cuando hagas la migración de servidores, actualiza los registros DNS (A, AAAA, MX o los que sean necesarios) en ambos proveedores

6. Esperar TTLs, chequear con dnsviz

7. Actualizar los registros NS en la zona padre para hacer la transición de un proveedor al otro en ambos proveedores.

8. Esperar TTLs, chequear con dnsviz

9. Cuando esté todo contento, eliminar el registro DS antiguo de la zona padre... mantener el DS del proveedor nuevo.

10. Esperar TTLs, chequear con dnsviz

11. Apagar DNSSEC y el proveedor antiguo por completo.

Para la opción 2 acá hay una presentación de Matt Pounsett donde hicieron un proceso como el que menciono: Video de la presentación https://youtu.be/XdFwAg5R49Q (y los slides: https://indico.dns-oarc.net/event/25/contributions/400/attachments/374/642/Inter-Operator_Transfer_of_Signed_TLDs.pdf ). Todo esto, basándose en el RFC 6781 ( https://datatracker.ietf.org/doc/rfc6781/ )

Saludos!