DNSSEC‑valideringsproblemen op KPN‑netwerk bij gebruik van Veilig Internet

Beste KPN,

Ik had vandaag informatief gebeld, maar bij de normale helpdesk is niet veel van de technische kant van DNSSEC bekend. Daarom probeer ik het even zo.

Ik had als test 5-7 domeinen op DNSSEC gezet die waren helemaal goed bevonden door dnsviz alleen bij de registrar had ik 2 keys toegevoegd terwijl ik alleen de key die de ds record verwerkt hoef toe te voegen. 

maar alle tests gaven door dat alles goed was na een paar uur.

7-8 dagen later zijn alle sites die op die manier DNSSEC geactiveerd waren opeens niet meer te bezoeken op een KPN verbinding en dochter bedrijven van KPN, maar wel door cloudflare en google bereikbaar. 

Na DNSSEC uitgezet te hebben op die domeinen waren de meeste binnen 30 min weer bereikbaar sommige iets langer 5-6 uren door resolving. 

Nu heb ik 1 domein als test de DNSSEC aangelaten en alleen de DNSSEC key toegevoegd die ook de ds record met de domein provider regelt , maar bleek niet te bezoeken op een kpn verbinding tot mijn verbazing toen ik veilig internetten uitgezet had deed de site het op mijn netwerk en toen ik veilig internet weer aangezet deed de site het ook.

Mijn eerste vraag is hoe vaak wordt de caching gereset van DNSSEC bij kpn gebruikers? Het is eigenlijk niet de bedoeling dat bedrijven uren niet kunnen mailen of de website bezoeken als er een sync issue is. 

Ik plaats deze vraag bij het consument gedeelte omdat ik de blokkade als kpn klant ervaarde van het domein.

Ik vraag hier niet hoe ik DNSSEC moet instellen ik vraag meer informatie van de technische kant en eventuele verbeteringen want in de toekomst gaan veel meer providers over op DNSSEC.

Hoe kan ik een whitelist regelen bij KPN als een domein onterecht geblokt wordt door DNSSEC of door caching? Als de DNSSEC instellingen wel goed staan op dnsviz bijvoorbeeld?