
<font size=2 face="sans-serif">Hi - </font>

<br>

<br><tt><font size=2>Gilles is having problems because the auditor is complaining

that RRSIGs do not include those for the algorithm of a retired key. So,

should :</font></tt>

<br>

<br><tt><font size=2>a) the auditor not complain about missing RRSIGs for

algorithms for which all keys in the zone have been retired (although still

published)? or</font></tt>

<br><tt><font size=2>b) the zone not include keys with algorithms for which

there are no RRSIGs?</font></tt>

<br>

<br><tt><font size=2>Thanks,</font></tt>

<br>

<br>

<br><tt><font size=2>Alex.</font></tt>

<br>

<br><tt><font size=2>> I tried an algorithm rollover (RSASHA1-NSEC3-SHA1

to RSASHA256) by<br>

> simply changing the policy. It seemed to worked correctly in so far

that<br>

> the signer config file got updated correctly, and an appropriate DNSKEY<br>

> appeared at the zone. However, the auditor complained vigorously that<br>

> (for all RRs):<br>

> <br>

> ods-auditor[5146]: RRSIGS should include algorithm RSASHA256 for<br>

> time.restena.lu, A, have : RSASHA1-NSEC3-SHA1<br>

> <br>

> which makes sense as the RSASHA256-key was not 'active' yet. So I

rolled<br>

> the ZSK, after which the auditor said:<br>

> <br>

> ods-auditor[5367]: RRSIGS should include algorithm RSASHA1-NSEC3-SHA1<br>

> for time.restena.lu, A, have : RSASHA256<br>

> <br>

> which seems to make less sense, as the RSASHA1-NSEC3-SHA1 has deen

retired.<br>

> <br>

> Is that expected, and what is the correct approach: disable the auditor<br>

> during this kind of operation? or wait more patiently and everything<br>

> will settle?<br>

> <br>

> BTW: the auditor hang consistently after each of these runs and had

to<br>

> be killed maually.<br>

> <br>

> (ods 1.0.0)<br>

> <br>

> Best,<br>

> Gilles<br>

> <br>

> -- <br>

> Fondation RESTENA - DNS-LU<br>

> 6, rue Coudenhove-Kalergi<br>

> L-1359 Luxembourg<br>

> tel: (+352) 424409<br>

> fax: (+352) 422473<br>

> _______________________________________________<br>

> Opendnssec-user mailing list<br>

> Opendnssec-user@lists.opendnssec.org<br>

> </font></tt><a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user"><tt><font size=2>https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</font></tt></a><tt><font size=2><br>

</font></tt>