O problema é exatamente de acordo com o texto citado.
A validação de dados assinados pelo DNSSEC requer:
- uma cadeia completa de confiança da zona de raiz até a sua própria ou
- configuração de uma 'âncora confiável' específica para sua zona
Na maioria dos casos, agora que a raiz está realmente assinada, a primeira é a preferida. Você tem um DNSKEY na sua zona e deve enviar um registro DS para os administradores da zona pai. Eles assinam esse registro com sua própria chave e, da mesma forma, seus próprios DS registros são enviados para sua zona pai, que pode ser a raiz.
No entanto, isso exige que todos os níveis do DNS entre seu domínio e a raiz também tenham DNSSEC.
Qual é o seu domínio? É bem possível que o seu domínio pai ainda não ofereça suporte ao DNSSEC.
Caso contrário, a próxima melhor opção é enviar seu registro do DS para o repositório "DLV" do ISC. Esse é um recurso de DNS bem suportado que permite a distribuição segura de âncoras de confiança para domínios que ainda não têm uma cadeia de confiança totalmente segura até a "raiz". Adicionar seu registro permitirá que outras pessoas validem seu nome de domínio.
EDIT O DLV do ISC não está mais em operação.