<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Arial" size="2">
<div>-----BEGIN PGP SIGNED MESSAGE-----</div>
<div>Hash: SHA256</div>
<div> </div>
<div>> The only reason I can think of keeping the RRSIG is that if a zone</div>
<div>> changes ownership (from zone administrator A to B), and you want it to</div>
<div>> keep the zone secure (not drop back to unsigned), you need to publish</div>
<div>> signatures of the other party.</div>
<div>> </div>
<div>> But in that case, only the signature of the DNSKEY RRset is necessary.</div>
<div> </div>
<div>I am using the zone <a href="http://trac.opendnssec.org/browser/trunk/testing/zonedatatest/all.rr.org">
http://trac.opendnssec.org/browser/trunk/testing/zonedatatest/all.rr.org</a> where I have a RRSIG for a A RR, which does not exist. Another interesting thing is that the Signer creates a RRSIG for this RRSIG.</div>
<div> </div>
<div>// Rickard</div>
<div> </div>
<div>-----BEGIN PGP SIGNATURE-----</div>
<div>Version: 9.8.3 (Build 4028)</div>
<div>Charset: utf-8</div>
<div> </div>
<div>wsBVAwUBSuqnruCjgaNTdVjaAQg3ygf/eYvtRacGXfI9F5m6fwtqKmXRTziPOz7a</div>
<div>Zh3Na+mbm+2wqTUaNnyO8ff4N9ehKelVIpcmYmy5Cq9ZwUzQqEdIP1ZM7FFGrC7A</div>
<div>ACRYNSUKd7QvouM48K/gHXjVatdjwZ5aF/wlLmcQAUNTzKDjFnWTbIigw5aOvdgF</div>
<div>gJ8ReK9kLRVe1VA0zBVBDici/+GkcaTfEqB7IAWKpjWLx/uNf5pC2TWMbu3XKzyL</div>
<div>869lVLi4hdrkQAoUVM35upstL+M9Pa6HjRrr+fKvhZ6fE9LX85ZMhifDzuZIDd8T</div>
<div>3NV3olPVOMrNf/Gc5vBp82J9OM+BN9rJkFIsUZBlPsMfp9ihZDKJtQ==</div>
<div>=akHZ</div>
<div>-----END PGP SIGNATURE-----</div>
<div> </div>
<div> </div>
</font>
</body>
</html>