Como estamos ejecutando la solución 2 para nuestra empresa, este es un punto de vista bastante justo.
Cuando subcontrata el servicio de CA o DNSSEC, lo único que importa es cuánta confianza tiene en la compañía de terceros que le proporciona el servicio subcontratado. A fin de externalizar la complejidad, tendrá que confiar en las prácticas seguras del proveedor de CA / DNSSEC.
Para los 2 servicios, el punto principal que debe abordar es la administración de claves. Tendrá que proteger sus claves privadas para evitar ser comprometido. Como mencionó Kurt, está perfectamente bien manejar el KSK y el ZSK como se indica.
Pero la complejidad operativa experimentada para los 2 servicios es la siguiente:
CA : las tareas principales que debe realizar son la (re) emisión y revocación del certificado. Estos procesos son bastante simples porque si emite un certificado incorrecto, simplemente revóquelo y emita uno nuevo utilizando su certificado de emisión. Si un servicio es perturbado, es decir, certificado incorrectamente firmado o no válido, su servicio será perturbado hasta el momento en que colocará el nuevo certificado.
DNSSEC : la tarea principal es renunciar a la zona (según el horario de validez de la zona firmada) y también volver a firmar al agregar modificaciones a su zona DNS. Pero si algo sale mal, su zona DNSSEC no válida se almacenará en caché en otros DNS (es decir, clientes, otras empresas) generalmente durante 48 horas. Por ejemplo, si su cliente utiliza el DNS de Google (8.8.8.8 y 8.8.4.4), su zona de DNS firmada incorrectamente no se resolverá a través de los DNS de Google, lo que causará una gran interrupción del servicio. Su única oportunidad será esperar hasta que caduque su zona firmada si otros DNS la renovarán.