<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 4 Mar 2019 at 17:37, James Stevens <<a href="mailto:james.stevens@jrcs.co.uk">james.stevens@jrcs.co.uk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br><br>
> What if you gradually introduce new NS?<br>
<br>
Gradually switching NS isn't a problem - I though a sudden switch over <br>
would be better. Happy to give it a go.<br></blockquote><div><br></div><div>A sudden switchover of NS records should be fine, but you'll want to leave the old DS there for 2xMAX TTL longer than you leave the old NS records.  The problem being that at the time you cutover the NS records, there may be resolvers which have just cached the old NS records and will continue to look up records at the old provider ... including getting (and re-caching) the old DNSKEYs.  </div><div><br></div><div>You need to leave time for the old NS records to expire, and then the old DNSKEYs to expire (sequentially, not concurrently) before removing the old DS records.</div></div></div>