<font size=2 face="sans-serif">Hi - </font>
<br>
<br><tt><font size=2>Gilles is having problems because the auditor is complaining
that RRSIGs do not include those for the algorithm of a retired key. So,
should :</font></tt>
<br>
<br><tt><font size=2>a) the auditor not complain about missing RRSIGs for
algorithms for which all keys in the zone have been retired (although still
published)? or</font></tt>
<br><tt><font size=2>b) the zone not include keys with algorithms for which
there are no RRSIGs?</font></tt>
<br>
<br><tt><font size=2>Thanks,</font></tt>
<br>
<br>
<br><tt><font size=2>Alex.</font></tt>
<br>
<br><tt><font size=2>> I tried an algorithm rollover (RSASHA1-NSEC3-SHA1
to RSASHA256) by<br>
> simply changing the policy. It seemed to worked correctly in so far
that<br>
> the signer config file got updated correctly, and an appropriate DNSKEY<br>
> appeared at the zone. However, the auditor complained vigorously that<br>
> (for all RRs):<br>
> <br>
> ods-auditor[5146]: RRSIGS should include algorithm RSASHA256 for<br>
> time.restena.lu, A, have : RSASHA1-NSEC3-SHA1<br>
> <br>
> which makes sense as the RSASHA256-key was not 'active' yet. So I
rolled<br>
> the ZSK, after which the auditor said:<br>
> <br>
> ods-auditor[5367]: RRSIGS should include algorithm RSASHA1-NSEC3-SHA1<br>
> for time.restena.lu, A, have : RSASHA256<br>
> <br>
> which seems to make less sense, as the RSASHA1-NSEC3-SHA1 has deen
retired.<br>
> <br>
> Is that expected, and what is the correct approach: disable the auditor<br>
> during this kind of operation? or wait more patiently and everything<br>
> will settle?<br>
> <br>
> BTW: the auditor hang consistently after each of these runs and had
to<br>
> be killed maually.<br>
> <br>
> (ods 1.0.0)<br>
> <br>
> Best,<br>
> Gilles<br>
> <br>
> -- <br>
> Fondation RESTENA - DNS-LU<br>
> 6, rue Coudenhove-Kalergi<br>
> L-1359 Luxembourg<br>
> tel: (+352) 424409<br>
> fax: (+352) 422473<br>
> _______________________________________________<br>
> Opendnssec-user mailing list<br>
> Opendnssec-user@lists.opendnssec.org<br>
> </font></tt><a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user"><tt><font size=2>https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</font></tt></a><tt><font size=2><br>
</font></tt>