Cada tres meses, 7 personas vuelan a un edificio de servidores de ICANN seguro y realizan una ceremonia elaborada para generar una nueva clave de firma para DNSSEC. Todo el asunto parece estar basado en la política y no en un modelo de seguridad real. Si las claves privadas no se han comprometido, nadie más puede firmar ningún registro, independientemente de su control de los equipos externos al servidor de firma.
Si está cargando por adelantado toda su confianza en la protección de las claves privadas, ¿por qué no se aseguran de que el servidor de firmas se autodestruya si se manipula? Puede protegerse contra cualquier persona que juegue con las entradas / salidas colocando 3 de estas cajas a prueba de manipulaciones en diferentes ubicaciones del mundo y sincronizando su salida. Podrían alojarse en una base de la ONU o en un lugar donde la seguridad sea manejada conjuntamente por países con relaciones semi-adversas (como China y EE. UU.) Y monitorearse a través de una cámara web.
Las claves solo deberían actualizarse si uno de los servidores se desconecta por cualquier motivo o si se necesitan actualizaciones de hardware.