Třeba hned první odkaz ve vyhledávači... https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server--2
(až na ten rok 2014 a sha1, ale to je detail)
k tématu: Teď už jen zbývá doufat, že jisté dejme tomu ne zcela libé pocity spojené s generováním NIST P256 křivky jsou opravdu jen pocity, jinak se máme na co těšit. A DNS systém žádný ekvivalent CT nemá.
(chápu byrokratické limity, ale když to na jednu stranu funguje a na druhou máme tu ed25519, tak je to docela škoda)