On Sat, Oct 15, 2011 at 1:31 PM, Mark Elkins <span dir="ltr"><<a href="mailto:mje@posix.co.za">mje@posix.co.za</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
True - no problem with a handful of zones.<br>
<br>
Now assume a few thousand being automated from some script.<br>
<br>
Wonder if OpenDNSSEC handles this at all?<br>
<br>
OK - so I've rewritten my script to not worry (Don't Panic) - just keep<br>
using the monthly KSK's with RSASHA1 until it sees a ZSK with the<br>
RSASHA256 algorithm - then just switch over to creating KSK's with<br>
RSASHA256 as well.<br>
<br></blockquote><div><br>There are some documented procedures for algorithm rollovers in RFC 4641bis that you should probably look at.  The current draft is at:<br><br><a href="http://tools.ietf.org/html/draft-ietf-dnsop-rfc4641bis-07">http://tools.ietf.org/html/draft-ietf-dnsop-rfc4641bis-07</a><br>
<br>see section 4.1.5.<br><br>Regards,<br>Casey<br></div></div>