<tt><font size=2>Jakob Schlyter <jakob@kirei.se> wrote on 02/11/2009

12:10:51:<br>

<br>

> On 2 nov 2009, at 13.03, Sion.Lloyd@nominet.org.uk wrote:<br>

> <br>

> > There are 3 strategies for ksk rollover described in<br>

> > draft-morris-dnsop-dnssec-key-timing-01 (<br>

> > </font></tt><a href="http://tools.ietf.org/html/draft-morris-dnsop-dnssec-key-timing-01#section-4.3"><tt><font size=2>http://tools.ietf.org/html/draft-morris-dnsop-dnssec-key-timing-01#section-4.3</font></tt></a><tt><font size=2>

<br>

> > )<br>

> <br>

> if we do anything semi-automatic, it should be double KSK - i.e. when

 <br>

> the new KSK is published, we have to wait for the operator to ack

 <br>

> before removing the old KSK. double DS requires the operator to upload

 <br>

> the DS of a not yet publish KSK to the parent, which might be a bit

 <br>

> difficult for most operators to understand.<br>

> <br>

> so, I hope we do double KSK with manual confirm before removing the

 <br>

> old KSK.<br>

> <br>

>    jakob<br>

</font></tt>

<br><tt><font size=2>The draft actually suggests the "double RRset",

which minimises the key rollover time. In this method the new KSK is added

to the zone and the associated DS record submitted to the parent.  After

a suitable interval, the old DS record and KSK can be removed. However,

that does separate the addition of the new DS record to the parent and

the removal of the old one.  The double KSK, although taking longer,

requires only one communication with the parent when changing the DS record.

 What do people think - do the advantages of a single change to the

parent zone outweigh the disadvantages of a longer rollover?</font></tt>

<br>

<br><tt><font size=2>I agree about the manual confirm bit.  The earlier

-00 version of the draft included an algorithm for doing a KSK rollover.

(It was removed from the -01 version because it made the document too long

and took the focus away from the timing issues).  This algorithm noted

that you can't assume that the DS record will appear in the parent, a check

needs to be made for it.</font></tt>

<br>

<br><tt><font size=2>It does strike me that we need to get this sorted

out fast though (i.e. before 1.0).  In particular, the documentation

should describe the steps involved in doing a KSK rollover.</font></tt>

<br>

<br>

<br><tt><font size=2>Stephen</font></tt>