Pelo que pude apurar, não há opção para reduzir o escopo de uma chave de API para que ela lide com desativações, essa não é uma das opções disponíveis, mas uma chave global não funciona de qualquer forma. (APIs precisam de trabalho, na minha humilde opinião.)
Não sei onde está o código deactivate.json, uma busca no meu servidor não o encontra, então aparentemente não é um arquivo separado. Estou imaginando se há algo específico sobre este ser um secondsite que não está correto, porque funcionou muito bem no site padrão.
Não seria o primeiro problema que encontro com secondsites, embora eu não tenha certeza se alguém já registrou o primeiro como um problema, tem a ver com código em um arquivo de configuração nginx que verifica se o nome de domínio na URL é o padrão, eu apenas comento essas linhas de código sempre que faço uma reconstrução. Relatei este problema nesta postagem: