<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Arial" size="2">
<div>-----BEGIN PGP SIGNED MESSAGE-----</div>
<div>Hash: SHA256</div>
<div> </div>
<div>> Should we allow them to "remove" the ds record of an active key? If we</div>
<div>> are</div>
<div>> asked to retire a key and there is no ready key to take over what we do</div>
<div>> now</div>
<div>> is set the retire time to be now, but it will not actually move until</div>
<div>> there</div>
<div>> is a key in the ready state.</div>
<div> </div>
<div>I did not read the last message so closely, but shouldn't the command be about notifying that you have added the new ds and not removed the old one?</div>
<div> </div>
<div>Because you want to have a chain-of-trust with the new ds. It does not matter that you have an old ds that do not have the corresponding ksk in the zone, right?</div>
<div> </div>
<div>> So we could make the dead time equal to the ready time of the</div>
<div>> replacement</div>
<div>> key + max(...) + safety? Or we could throw an error.</div>
<div>></div>
<div>> If "ds remove" is called on a zone with no retired key should I take</div>
<div>> that</div>
<div>> as an instruction to roll the key?</div>
<div> </div>
<div>The algorithm you proposed earlier:</div>
<div> </div>
<div>"now" + max(TTL of record in parent zone + estimate of propagation delay through parent zone, TTL of record in this zone + estimate of propagation delay through this zone) + safety margin</div>
<div> </div>
<div>You should also have:</div>
<div> </div>
<div>If "ready time" > "now" then use "ready time" in the algo above. This will happen if you say to the system that you have added the new ds before the new key is ready.</div>
<div> </div>
<div>Correct me if I am wrong...</div>
<div> </div>
<div>// Rickard</div>
<div> </div>
<div>-----BEGIN PGP SIGNATURE-----</div>
<div>Version: 9.8.3 (Build 4028)</div>
<div>Charset: utf-8</div>
<div> </div>
<div>wsBVAwUBSvLWp+CjgaNTdVjaAQhkDggAnQhVrYRBWmmyTN8oYHPlV1Hw07q9iMYZ</div>
<div>hwmDKBM7ny7peVwi2F1W2CtqOC4PWPAHgQcsTZJYEZfGs3metzl91TVKaSo9ZA2b</div>
<div>w45F8Svzv+jSIdRfZVV1Sw05Hq41dV6IPJw7yBwJPNKeOEiD/E3vDr8aWJY785Qt</div>
<div>RofQpvHmmkWyQGqsSQ8oBJrRL8Edk2sjGR0L5Gz8O8GeKs7UJGd/sUD86L4H/Kyz</div>
<div>y4L5ur+/z8ADky9pgeAh7W8YB1kYNcB9Op7RUM1tFC9WUg3NQY81Sk2l5excv5UB</div>
<div>6hPPRm6Ljh9jiV0F/PSljvD5wNYPW6czUWHfhAO/PmjFRbIBit7AbA==</div>
<div>=4QsE</div>
<div>-----END PGP SIGNATURE-----</div>
<div> </div>
<div> </div>
</font>
</body>
</html>