<div dir="ltr">We have a zone, "<a href="http://bar.example.com">bar.example.com</a>," that is all properly delegated from "<a href="http://example.com">example.com</a>." Although the subzone still has many records, "<a href="http://foo.bar.example.com">foo.bar.example.com</a>" and such, the administrative reasons for having it as a separate zone are not so important anymore, and it would be convenient to simply manage it as multi-label names all within the <a href="http://example.com">example.com</a> zone. That is, <a href="http://foo.bar.example.com">foo.bar.example.com</a> would now just be in <a href="http://example.com">example.com</a>.<div><br></div><div>The first thing that ups the degree of difficulty is DNSSEC. <a href="http://example.com">example.com</a> is signed. <a href="http://bar.example.com">bar.example.com</a> is properly delegated and also signed. How do we make the transition without invalidating <a href="http://bar.example.com">bar.example.com</a> and its contents? I can't think of a way to transition <a href="http://bar.example.com">bar.example.com</a> without going insecure, letting that propagate out, and then folding <a href="http://bar.example.com">bar.example.com</a> into <a href="http://example.com">example.com</a>. Or is there some way we could do it without going insecure first?</div><div><br></div><div>I am also a little concerned about pre-loading the multi-label names at <a href="http://bar.example.com">bar.example.com</a> and above into <a href="http://example.com">example.com</a>. <a href="http://example.com">example.com</a> and <a href="http://bar.example.com">bar.example.com</a> have the same NS records, the same servers. Could it present any issues having those "hidden" records and their associated NSEC3 records in <a href="http://example.com">example.com</a> while the server still is serving <a href="http://bar.example.com">bar.example.com</a>? Would we want to go insecure with <a href="http://example.com">example.com</a> too, just to be safe?</div><div><br></div><div>Even without DNSSEC, there are some problems. If we manage an instantaneous change on all of the authoritative servers at once, we can still have cached records out there. You could still have a resolver with the NS and SOA of <a href="http://bar.example.com">bar.example.com</a> cached. It goes to ask for "<a href="http://doesntexist.bar.example.com">doesntexist.bar.example.com</a>" and gets a NXDOMAIN with an SOA for <a href="http://example.com">example.com</a> in the auth section. It's expecting the SOA for <a href="http://bar.example.com">bar.example.com</a>. A standard-compliant resolver won't accept that.</div><div><br></div><div>Am I just over-thinking this? Just lower the TTLs on the NS and DS records for <a href="http://bar.example.com">bar.example.com</a> as far as we dare, and make the changes and hope for the fewest inconsistencies possible? Are there some steps to take to do this with minimal chances for inconsistencies and breakage?</div><div><br></div><div>We're using BIND dnssec-policy to manage DNSSEC for the zones.</div></div>