
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Exchange Server">


<!-- converted from rtf -->


<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>


</head>


<body>


<font face="Arial" size="2">


<div>-----BEGIN PGP SIGNED MESSAGE-----</div>


<div>Hash: SHA256</div>


<div> </div>


<div>> Should we allow them to "remove" the ds record of an active key? If we</div>


<div>> are</div>


<div>> asked to retire a key and there is no ready key to take over what we do</div>


<div>> now</div>


<div>> is set the retire time to be now, but it will not actually move until</div>


<div>> there</div>


<div>> is a key in the ready state.</div>


<div> </div>


<div>I did not read the last message so closely, but shouldn't the command be about notifying that you have added the new ds and not removed the old one?</div>


<div> </div>


<div>Because you want to have a chain-of-trust with the new ds. It does not matter that you have an old ds that do not have the corresponding ksk in the zone, right?</div>


<div> </div>


<div>> So we could make the dead time equal to the ready time of the</div>


<div>> replacement</div>


<div>> key + max(...) + safety? Or we could throw an error.</div>


<div>></div>


<div>> If "ds remove" is called on a zone with no retired key should I take</div>


<div>> that</div>


<div>> as an instruction to roll the key?</div>


<div> </div>


<div>The algorithm you proposed earlier:</div>


<div> </div>


<div>"now" + max(TTL of record in parent zone + estimate of propagation delay through parent zone, TTL of record in this zone + estimate of propagation delay through this zone) + safety margin</div>


<div> </div>


<div>You should also have:</div>


<div> </div>


<div>If "ready time" > "now" then use "ready time" in the algo above. This will happen if you say to the system that you have added the new ds before the new key is ready.</div>


<div> </div>


<div>Correct me if I am wrong...</div>


<div> </div>


<div>// Rickard</div>


<div> </div>


<div>-----BEGIN PGP SIGNATURE-----</div>


<div>Version: 9.8.3 (Build 4028)</div>


<div>Charset: utf-8</div>


<div> </div>


<div>wsBVAwUBSvLWp+CjgaNTdVjaAQhkDggAnQhVrYRBWmmyTN8oYHPlV1Hw07q9iMYZ</div>


<div>hwmDKBM7ny7peVwi2F1W2CtqOC4PWPAHgQcsTZJYEZfGs3metzl91TVKaSo9ZA2b</div>


<div>w45F8Svzv+jSIdRfZVV1Sw05Hq41dV6IPJw7yBwJPNKeOEiD/E3vDr8aWJY785Qt</div>


<div>RofQpvHmmkWyQGqsSQ8oBJrRL8Edk2sjGR0L5Gz8O8GeKs7UJGd/sUD86L4H/Kyz</div>


<div>y4L5ur+/z8ADky9pgeAh7W8YB1kYNcB9Op7RUM1tFC9WUg3NQY81Sk2l5excv5UB</div>


<div>6hPPRm6Ljh9jiV0F/PSljvD5wNYPW6czUWHfhAO/PmjFRbIBit7AbA==</div>


<div>=4QsE</div>


<div>-----END PGP SIGNATURE-----</div>


<div> </div>


<div> </div>


</font>


</body>


</html>