<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Arial" size="2">
<div>-----BEGIN PGP SIGNED MESSAGE-----</div>
<div>Hash: SHA256</div>
<div> </div>
<div>Hi</div>
<div> </div>
<div>As noted on the user's list, we got some suggestions that we should use double signatures for KSK rollover. Because most people would like to change the DS records only one time. Do we agree?</div>
<div> </div>
<div>Currently we do (something like this):</div>
<div>ods-ksmutil key rollover --zone example.com --keytype KSK</div>
<div>- - Publish new key</div>
<div>ods-ksmutil key ksk-roll</div>
<div>- - Make new key active. Retire old key.</div>
<div> </div>
<div>Suggested solution:</div>
<div>ods-ksmutil key rollover --zone example.com --keytype KSK</div>
<div>- - Publish new key. Make new key active (when key is ready).</div>
<div>ods-ksmutil key ksk-roll</div>
<div>- - Retire old key.</div>
<div> </div>
<div>Should we do this for version 1? Would it be difficult?</div>
<div> </div>
<div>// Rickard</div>
<div> </div>
<div>-----BEGIN PGP SIGNATURE-----</div>
<div>Version: 9.8.3 (Build 4028)</div>
<div>Charset: utf-8</div>
<div> </div>
<div>wsBVAwUBSx5i0eCjgaNTdVjaAQh9Vgf/Ur7bsKZRHrx5cbxEVMkYSJrx1iDzaDy1</div>
<div>wbEQeRnMhVjBusfiU8tSN3DDZeebo10YVyc2lx5jWos0dz32ygO0vL+cxpEqTZcR</div>
<div>G1NCDbw/vTlqq591AbY2nyAMGnnl6hyERRoB2LmEWnfU/pR9LJ6sZTj4o0vNrx1q</div>
<div>+R9SxOvINnEDuQgbypUB/+5Tm/n0el1n4ozBbNh+C2xqd0sHE3rKJOs/CsCFzhnB</div>
<div>eC+25/wZo0ZjA1nBMts6qPoElrwKa4JRTXbItp44H27RK2pPAoTAW5mjeIWaupJb</div>
<div>znTzb6wdV5igA1fgLcfszKohyTbyzNnOUXGGkCwvtwY29tRP0Q5HQg==</div>
<div>=oYDA</div>
<div>-----END PGP SIGNATURE-----</div>
<div> </div>
<div> </div>
</font>
</body>
</html>