
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Title" content="">


<meta name="Keywords" content="">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Courier New";


        panose-1:2 7 3 9 2 2 5 2 4 4;}


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:Calibri;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:#0563C1;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:#954F72;


        text-decoration:underline;}


code


        {mso-style-priority:99;


        font-family:"Courier New";}


span.EmailStyle17


        {mso-style-type:personal-compose;


        font-family:Calibri;


        color:windowtext;}


span.apple-converted-space


        {mso-style-name:apple-converted-space;}


span.msoIns


        {mso-style-type:export-only;


        mso-style-name:"";


        text-decoration:underline;


        color:teal;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:Calibri;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style>


</head>


<body bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt">Hi BIND,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt">The documentation for auto-dnssec maintain suggests that named will remove DNSKEYs from zones when the deletion time marked in the metadata occurs [1]. Unfortunately, it seems this is not always the case.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt">We are currently trying to diagnose the source of residual DNSKEYs in our zones - despite our use of auto-dnssec maintain.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt">We think that in some cases, named may be choosing to use a key past the removal date (as in [2]), while our file maintenance process removes the keys as per their deletion date – after which named no longer


 has the necessary metadata to determine whether or not to remove the DNSKEY from the zone.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt">Does this sound possible? Are there any other circumstances that would lead named to not removed a DNSKEY in a timely manner?<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt">Lastly, so long as a zone is properly signed with a different key, are there any concerns with manually removing the zombie DNSKEY records via an update even while auto-dnssec maintain is enabled?<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt">Thanks in advance,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>


<div>


<div>


<div>


<p class="MsoNormal"><span style="font-size:10.5pt;color:black">Mathew Eis<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:10.5pt;color:black">Northern Arizona University<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:10.5pt;color:black">Information Technology Services<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt">[1] <a href="ftp://ftp.isc.org/isc/bind/9.8.0-P4/doc/arm/Bv9ARM.ch04.html">


ftp://ftp.isc.org/isc/bind/9.8.0-P4/doc/arm/Bv9ARM.ch04.html</a><o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt">auto-dnssec maintain … will also automatically adjust the zone's DNSKEY records on schedule according to the keys' timing metadata.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt">[2] <a href="https://kb.isc.org/article/AA-00822/0/Automatic-DNSSEC-Zone-Signing-Key-rollover-explained.html">


https://kb.isc.org/article/AA-00822/0/Automatic-DNSSEC-Zone-Signing-Key-rollover-explained.html</a><o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt">It may also be necessary for some keys to be used past their end date.  An example of this would be if a key is added but no following key is provided.  Rather than break the zone, the older key may continue


 to be used, with sufficient notification in the log files to indicate this is happening.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:10.5pt;color:black"><o:p> </o:p></span></p>


</div>


</div>


</div>


</div>


</body>


</html>