DNS: проведите подписанную зону через миграцию и rollover

Запустите небольшую DNSSEC-подписанную зону (lab.example или любой подконтрольный домен, либо полностью локальный root с инструментом вроде dnslib/CoreDNS) за собственным рекурсивным резолвером, инструментируйте путь резолва, затем выполните zero-downtime миграцию IP и KSK rollover — ломая и восстанавливая цепочку — с dig-доказательством каждого утверждения.

• Поднимите авторитативный сервер (BIND, Knot, NSD или CoreDNS) с зоной, где есть A/AAAA, CNAME на не-apex метке, MX и TXT-запись. Подтвердите, что на apex корректно стоят SOA + NS и он отказывает в CNAME.
• Запустите собственный рекурсивный резолвер (Unbound или Knot Resolver) и направьте на него dig. Снимите +trace холодного резолва, показывающий referral'ы root → TLD → authoritative, и определите, какие ответы — referral'ы (AA=0, NS в Authority, glue в Additional), а какой — финальный ответ (AA=1).
• Подпишите зону DNSSEC (отдельные ZSK и KSK), опубликуйте DS у родителя (или зацепите за локальный trust anchor в lab-режиме) и докажите валидацию: dig +dnssec показывает выставленный бит AD и RRSIG на ответе.
• Подключите DNS-наблюдаемость: логируйте или стройте графики rate запросов, доли попаданий в кеш, распределения времени ответа и счётчиков SERVFAIL/NXDOMAIN с резолвера (unbound-control stats или эквивалент). Снимите baseline.
• Зашифруйте транспорт клиент-резолвер: включите DoH или DoT на резолвере и подтвердите через dig +https (или DoT-клиент), что запрос проходит по шифрованному каналу; покажите в захвате пакетов, что plain UDP/53 к резолверу больше не несёт запрос.
• Проведите zero-downtime миграцию IP одной A-записи по SOP: заранее понизьте её TTL, дождитесь очистки старого TTL, смените IP, по таймированным вызовам dig убедитесь, что худшее окно устаревания совпадает с пониженным TTL (а не с мифическими 24-48 ч), затем поднимите TTL обратно.
• Намеренно сломайте цепочку DNSSEC: прокрутите KSK БЕЗ обновления DS у родителя. Снимите сбой ровно так, как описано в юните — dig +dnssec даёт SERVFAIL, а dig +cd возвращает корректную A-запись, — затем восстановите, опубликовав корректный DS, и покажите, как SERVFAIL очищается в пределах TTL кеша DS.

• Снятый +trace с пометками, какие хопы — referral'ы, а какой — авторитативный ответ, и заметкой о том, требовался ли glue (in-bailiwick) или нет (out-of-bailiwick) для ваших nameserver'ов.
• Вывод dig +dnssec до поломки с выставленным AD и парой в состоянии поломки (SERVFAIL под +dnssec, NOERROR + корректная A под +cd) с однострочным диагнозом, называющим несовпадение DS-vs-KSK.
• Таймированный лог миграции: результаты dig с интервалами, доказывающие, что новый IP появляется не позже пониженного TTL после изменения, со слитым заранее старым TTL.
• Захват пакетов или лог резолвера, показывающий запрос по DoH/DoT (зашифрованный) и не по plain UDP/53, плюс абзац о том, что DNSSEC добавляет сверх шифрования и наоборот.