<tt><font size=2>> > Gilles is having problems because the auditor
is complaining that <br>
> RRSIGs do not include those for the algorithm of a retired key. So,
should : <br>
> > <br>
> > a) the auditor not complain about missing RRSIGs for algorithms
<br>
> for which all keys in the zone have been retired (although still <br>
> published)? or <br>
> > b) the zone not include keys with algorithms for which there
are no RRSIGs? <br>
> <br>
> RFC4035 - Section 2.2<br>
> ----<br>
> There MUST be an RRSIG for each RRset using at least one DNSKEY of
<br>
> each algorithm in the zone apex DNSKEY RRset.<br>
> ----<br>
> <br>
> Does this mean the following?:<br>
> <br>
>  * Rolling to a new ZSK algorithm: The prepublished ZSK must
sign <br>
> the DNSKEY RRset until we can sign the rest of the zone with the <br>
> ZSK, once it is ready.<br>
> <br>
>  * We cannot roll both the KSK and ZSK to a new algorithm at
the <br>
> same time (retiring them at the same time), since the old KSK <br>
> algorithm must sign the DNSKEY RRset until the old ZSK does not need<br>
> to be postpublished.<br>
</font></tt>
<br><tt><font size=2>Anyone?</font></tt>