On Fri, Jun 4, 2010 at 9:10 AM, Evan Hunt <span dir="ltr"><<a href="mailto:each@isc.org">each@isc.org</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
The way it's supposed to work is: you add the new NSEC3PARAM record,<br>
then wait for the new NSEC3 chain to be built.  The newly inserted record<br>
will, at first, have its "flags" field set to a nonzero value; this<br>
indicates that the chain isn't complete yet.  When the server is finished<br>
building the chain, it updates the newly-added NSEC3PARAM record, and<br>
zeroes the flags field.  At that point, it's safe to remove the old<br>
NSEC3PARAM record, which will cause the server to remove the old NSEC3<br>
chain.<br>
<br></blockquote><div><br>This is a much more elegant solution... :)<br><br>Casey<br></div></div>