<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Arial" size="2">
<div>-----BEGIN PGP SIGNED MESSAGE-----</div>
<div>Hash: SHA256</div>
<div> </div>
<div>> But having two KSKs in the child zone and one DS in the parent zone</div>
<div>> requires that the DNSKEY RRset is double signed in the child zone</div>
<div>> during</div>
<div>> the rollover which is currently not the case. The DS record can't be</div>
<div>> updated in the parent zone unless the new KSK is used to sign the</div>
<div>> DNSKEY</div>
<div>> RRset.</div>
<div> </div>
<div>We are using the method where you have two DS in the parent zone. One pointing to the current KSK and one pointing to the new one. When the new one becomes active you can remove the old DS.</div>
<div> </div>
<div>// Rickard</div>
<div> </div>
<div>-----BEGIN PGP SIGNATURE-----</div>
<div>Version: 9.8.3 (Build 4028)</div>
<div>Charset: utf-8</div>
<div> </div>
<div>wsBVAwUBSx4l9uCjgaNTdVjaAQgjAwf/XUEQzVR++a0pZRjwmMvrlrmf72zY0QNr</div>
<div>Hsccry5bdFbXYT9rSARd0EKDCnKj6vtpNcovruD3a4UnrYlH1exjUJYTBVAFTHLA</div>
<div>2s3S8/KGuCY7sX4crXTVRoAf1wZcE8CVTjOnhbxpYP/aHft3RFb7kAuFonmFxEb4</div>
<div>wxOO988T4YTDaWZWziX2l/8m1efCnyYpppztDnDXztt9XDXZVr7WlBCpQdzaiVuD</div>
<div>wPgaAN4XcsMNIQBGomEa4JTIhbw+8Pp/zFKPi20+5aSnkbAVl97p0lkKPzsfRJfT</div>
<div>3HwsMECACJFTbFKB0fz0t2+pFJqvV31p/vpGtHoVWqpIszE/zMQa4A==</div>
<div>=Kbe8</div>
<div>-----END PGP SIGNATURE-----</div>
<div> </div>
<div> </div>
</font>
</body>
</html>