<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <div class="moz-cite-prefix">Hello Yuri,<br>

      <br>

      I solved this problem for others zones by using the "sign" command

      from the ods-signer cli.<br>

      <br>

      But I thought that the signer would have change the signature end

      time every time it runs, right? Now the end time is set to 14 days

      later. I'll keep an eye on it.<br>

      <br>

      Thanks<br>

      <br>

      Le 19/04/2017 à 13:59, Yuri Schaeffer a écrit :<br>

    </div>

    <blockquote

      cite="mid:a444996b-d524-cff2-eaae-fa5c7b05af25@nlnetlabs.nl"

      type="cite">

      <pre wrap="">Hi Gilles,

</pre>

      <blockquote type="cite">

        <pre wrap="">Recently, some zones were not secured anymore because of the Validity

Period. The reason was that the signature expiration field of the RRSIG

RR was too old.

For this time, I solved this problem by updating my zone. But I don't

want to update all of my zones to avoid this.

</pre>

      </blockquote>

      <pre wrap="">

I'm not sure if I understand your problem correctly. OpenDNSSEC is

specifically designed to do this. So as long as it is running

(specifically the signer in this case) it should take care or renewing

signatures.

If you don't want to change your zones after signing and don't want to

have OpenDNSSEC running you can just set the signature validity to a

period ending after your retirement and hope someone else will be there

to deal with it by that time. Is this what you are asking?

</pre>

      <blockquote type="cite">

        <pre wrap="">Is there any rule to calculate the Default and Denial durations for non

changing zones?

</pre>

      </blockquote>

      <pre wrap="">

These durations are configured in that KASP, no calculations required.

The signature end time might differ from record to record depending on

time changed and jitter. Though if all records are signed simultaneously

a 'dig +dnssec' for some record will suffice to read the date on the

signature.

Best regards,

Yuri

</pre>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

Opendnssec-user mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Opendnssec-user@lists.opendnssec.org">Opendnssec-user@lists.opendnssec.org</a>

<a class="moz-txt-link-freetext" href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user">https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</a>

</pre>

    </blockquote>

    <p><br>

    </p>

  </body>

</html>