
<tt><font size=2>Matthijs Mekking <matthijs@NLnetLabs.nl> wrote

on 01/09/2009 13:08:47:<br>

<br>

> > Hi,<br>

> > <br>

> > Picking op this ticket. Not sure what to do.<br>

> > <br>

> > The report is two-fold.<br>

> > <br>

> > 1.<br>

> > What to do if the signer engine is presented a new SignerConfiguration<br>

> > but no new signatures need to be created. Should we keep the

old zone or<br>

> > should we force a new output zone?<br>

> > <br>

> > In my point of view, we should only output a new zone if new

signatures<br>

> > where created. So, for example an increased signature refresh

value does<br>

> > not necessarily result in a new output zone.<br>

> <br>

> Currently, it forces new signatures when a new SignerConfiguration

is<br>

> detected.</font></tt>

<br>

<br><tt><font size=2>I would have thought that would be OK.  How often

is the signer configuration likely to change once the system is in operation?</font></tt>

<br>

<br>

<br><tt><font size=2><br>

> > 2.<br>

> > What to do when signer_engine_cli sign <zone> is called.

Should we force<br>

> > a new output zone or only if new signatures are created?<br>

> > <br>

> > In my point of view, again, we should only output a new zone

if new<br>

> > signatures are created. If the SOA serial changed, we should

only output<br>

> > a new zone if the SOA/Serial is equal to "keep".<br>

> <br>

> Currently, the old zone is kept if only the SOA serial changes<br>

> (regardless of the SOA/Serial value).</font></tt>

<br>

<br><tt><font size=2>I think we should force a new output zone: the user

has requested that a signing operation be performed and so we should do

it.  We could always add a flag to the command (or add a new command)

that will only output the zone if new signatures are created.</font></tt>

<br>

<br><tt><font size=2>However, bear in mind one special case: the OpenDNSSEC

data flow is:</font></tt>

<br>

<br><tt><font size=2>   Unsigned zone -> Signer -> Signed

zone -> Auditor -> Nameserver</font></tt>

<br>

<br><tt><font size=2>What happens if an insecure delegation is added to

the unsigned zone and the zone is signed using NSEC3?  No new signatures

(other than that for the updated SOA) have to be created, but signer needs

to propagate the new information through to the nameserver.</font></tt>

<br>

<br><tt><font size=2>Stephen</font></tt>