Verschillende cryptografische algoritmen
Let op dat je niet zomaar het gebruikte cryptografische algoritme voor de sleutelparen en handtekeningen kunt veranderen. Om de bescherming van DNSSEC niet te hoeven onderbreken is een aparte roll-over nodig, die op dit moment nog niet door OpenDNSSEC ondersteund wordt.
Hoewel er verschillende algoritmen ondersteund worden en er geen theoretische tegenargumenten zijn om deze door elkaar te gebruiken, wordt dat in de praktijk wel afgeraden. Het advies is om voor alle zones in je bestand te standaardiseren op één algoritme. Voor ondertekende domeinen die bij een registrar binnenkomen wordt aangeraden om deze indien nodig tijdens of direct na de verhuizing (ook een roll-over) om te zetten. Alternatief is dat je na verloop van tijd tien verschillende algoritmen moet ondersteunen.
