ルートゾーンに含まれる鍵(KSK)が新しくなります(トラストアンカーの更新)。
一部のDNS応答のサイズ(DNSKEYの応答)が一時的に大きくなります(DNS応答サイズ増大への対応)。

https://www.nic.ad.jp/ja/dns/ksk-rollover/

DNSSECのしくみは一言で言えば、
　「応答を受け取ったサーバーが、その情報が本当に正しいものかを
　　確かめて、情報の信頼性を向上させるしくみ」です。

DNSサーバーから返信された情報が正しいかどうかを検証できれば、
「DNSキャッシュポイズニング」を防ぐことができます。

http://www.itbook.info/network/dns5.html

・やること
トラストアンカーの自動更新

/etc/init.d/unbound stop
unbound-anchor -a "/etc/unbound/root.key"

# grep auto-trust-anchor-file: /etc/unbound/unbound.conf
	 auto-trust-anchor-file: "/etc/unbound/root.key"

/etc/init.d/unbound start

2017/6/20 第1回ZSK事前公開
2017/9/19 第2回新ZSK事前公開（DNSKEYパケットサイズが1424バイトまで増加）
2017/10/21 新KSKの利用開始
2018/1/11 旧KSKの失効開始（トラストアンカー未更新の場合、検証失敗の可能性）
2018/3/22 旧KSKの完全削除（移行完了）