��2330 最新版のnamedに実装されたDNSSECについて - Web Patio - CentOSで自宅サーバー構築
フォワーダの件、forward only;を維持したままで解決できた。解決すると思ってなかったのでビックリだわ。

結論。フォワーダの向け先は自宅ルータの内部アドレス。で、

#named.conf

dnssec-enable yes;
dnssec-validation no; //←をautoからnoに変えた
dnssec-lookaside auto;

そう言われてみると、digする度にこんなメッセージ出てたなーと。

Jul 21 21:07:59 centos named[2975]: validating @0xb57024d8: google.com A: bad cache hit (com/DS)

dnssec自体をnoにすべきかどうか、よくわからんなぁ。yesで動いてるからこのままいってみるけども。まぁ、sshで遊び倒した後シャットダウンするから、クライアントのDNS向けないんだけどねｗｗ
いやでも、スッキリしたわ。

[root@centos ~]# dig +rec @127.0.0.1 hatena.ne.jp

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> +rec @127.0.0.1 hatena.ne.jp
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56351
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;hatena.ne.jp.                  IN      A

;; ANSWER SECTION:
hatena.ne.jp.           600     IN      A       グローバルアドレス

;; Query time: 31 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Jul 21 21:27:33 2014
;; MSG SIZE  rcvd: 46

BIND 9.7におけるDNSSECの設定 - OSSでLinuxサーバ構築
DNSSEC再入門（3）：キャッシュDNSサーバのDNSSEC対応 (1/2) - ＠IT
うちではこの辺を見ながら、更に手動でトラストアンカーを入れてみましたが、ダメでした。どうしてもflagsにadが入らないし、validatingのログが出力されます。
そもそもCentOS6ではデフォルトでDNSSECに対応していると書いてある。確かにインストール時に適当にコピペしたファイルを見ていくと、named.iscdlv.keyにもnamed.root.keyにも最新のトラストアンカーと全く同じ文字列が並んでるんですわ。ISP側が対応してないのかなぁ。

hwclock --systohc

とかやってもダメなので、もうvalidateしない方向で。