Revisei o documento e descobri que o (s) autor (es) não entendem a propagação do DNS de novas entradas. Ao atualizar entradas antigas, há tempos de cache configuráveis que podem durar vários dias. No entanto, novas entradas precisam ser buscadas nos servidores de nomes oficiais antes de serem armazenadas em cache.
Se as chaves estão sendo giradas pelo processo sugerido de girar as chaves por trás de três CNAMEs, pode haver atrasos significativos enquanto as entradas em cache são atualizadas. Isso pode ser mitigado descartando o TTL no registro para ser atualizado no período antes de ser atualizado. As rotações CNAME também podem ser problemáticas no caso de uma rotação de chave de emergência ser necessária.
A aleatorização dos nomes das chaves fornece uma pequena medida de proteção contra a chave pública que está sendo recuperada antes do uso. Quando a chave estiver em uso, presumo que ela poderia ter sido coletada com o objetivo de gerar uma chave de assinatura alternativa.