<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Dec 9, 2010, at 2:26 PM, Matus UHLAR - fantomas wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><span class="Apple-style-span" style="font-family: monospace; ">Is it possible(planned) for bind to sign slave zone?<br>And, are incremental updates possible with dnssec?<br><br>I'm thinking about hidden master bind loading (un)signed zones and providing<br>axfr/ixfr to our public servers<br></span></span></blockquote></div><br><div>Secure64 makes a product that does this.</div><div><br></div><div>- The hidden master creates/updates an unsigned zone.</div><div>- Secure64 appliance acts as a slave, transferring the zone in response to notify messages. It then signs the zone, including auto-generating and auto-rotating keys as needed (I believe).</div><div>- Secure64 appliance then acts as a second hidden master, replicating the zone out to the regular slaves.</div><div><br></div><div>I believe it's implemented using two instances of nsd (from NLnet Labs), one acting as a slave and another acting as a primary master, with some proprietary code in between.</div><div><br></div><div><a href="http://www.secure64.com/automated-DNSSEC-signer-software-appliance">http://www.secure64.com/automated-DNSSEC-signer-software-appliance</a></div><div><br></div><div>Note: You hinted that the unsigned zone content is generated by some process that would be difficult to modify. Products from my employer and our other competitors would not have as easy a time handling that type of need as this off-the-shelf product from Secure64. If that is not the case, however, I would be happy to talk to you about DNSSEC solutions from BlueCat Networks.</div><div><br></div><div>Chris Buxton</div><div>BlueCat Networks</div></body></html>