pokud se rozjede tak, že již máš nevalidní certifikát, stejně jsi udělal něco špatně. DNSSEC potřebuje mít skoro přesný čas na obou stranách, SSL/TLS v protokolu nikoliv a čas kontroluje jen vyšší vrstva.
Ano, občas server startujeme desítky minut, takže ten čas je odstřelený někdy dost.