No DNSSEC, a função dos servidores de nomes raiz e intermediários é fornecer uma cadeia de confiança até que um servidor de nomes autoritativo para sua zona seja alcançado. Além de hospedar a chave pública DS associada à sua zona assinada, eles não têm nenhum papel na validação NSEC3.
Para que o NSEC3 funcione, você precisa assinar sua zona usando um algoritmo que exige suporte para o recurso. Os algoritmos mais antigos são suportados por meio de variantes que contêm um identificador -NSEC3- . Os Resolvers não tentarão utilizar a funcionalidade mais recente, a menos que o suporte seja anunciado dessa maneira. Se a zona foi assinada corretamente, tudo o que você precisa fazer é seguir as etapas habituais para obter o resumo da chave DS publicado no servidor de nomes imediatamente antes do seu na cadeia de delegação.
De RFC5155 :
In order to aid deployment, this specification uses a signaling technique to prevent NSEC3-unaware resolvers from attempting to validate responses from NSEC3-signed zones.
This specification allocates two new DNSKEY algorithm identifiers for this purpose. Algorithm 6, DSA-NSEC3-SHA1 is an alias for algorithm 3, DSA. Algorithm 7, RSASHA1-NSEC3-SHA1 is an alias for algorithm 5, RSASHA1. These are not new algorithms, they are additional identifiers for the existing algorithms.
Zones signed according to this specification MUST only use these algorithm identifiers for their DNSKEY RRs. Because these new identifiers will be unknown algorithms to existing, NSEC3-unaware resolvers, those resolvers will then treat responses from the NSEC3 signed zone as insecure, as detailed in Section 5.2 of [RFC4035].