<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><br><div class="gmail_quote"><div dir="ltr">On Sun, Sep 9, 2018 at 2:30 PM Anand Buddhdev <<a href="mailto:anandb@ripe.net">anandb@ripe.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 09/09/2018 19:51, Mark Elkins wrote:<br>
<br>
> Never assume a KeyID is unique.  :-)<br>
<br>
One of the DNSSEC RFCs specifically says that the KeyID is not meant to<br>
be unique. I can't remember which one, and it's too late on a Sunday<br>
evening to be reading RFCs :)<br></blockquote><div><br></div><div><div class="gmail_default" style="font-family:verdana,sans-serif">You are thinking of RFC4034, Section <span style="color:rgb(0,0,0);white-space:pre-wrap;font-family:Arial,Helvetica,sans-serif">8.  Security Considerations:</span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span style="color:rgb(0,0,0);white-space:pre-wrap;font-family:Arial,Helvetica,sans-serif"><br></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><pre style="color:rgb(0,0,0);white-space:pre-wrap">The key tag is used to help select DNSKEY resource records
efficiently, but it does not uniquely identify a single DNSKEY
   resource record.  It is possible for two distinct DNSKEY RRs to have
   the same owner name, the same algorithm type, and the same key tag.
   An implementation that uses only the key tag to select a DNSKEY RR
   might select the wrong public key in some circumstances.  Please see
   Appendix B for further details.</pre></div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Even then, I've had the misfortune of dealing with a vendor whose<br>
developers didn't read the RFCs properly, and designed their key store<br>
using the key IDs as indexes. So one fine day, we had a zone signed with<br>
one key, but the DS record came from another key. Boom. Yuck. What a<br>
mess it was to sort out!<br>
<br></blockquote><div><br></div><div><br></div><div><div class="gmail_default" style="font-family:verdana,sans-serif">Oooh, that sounds like fun to debug....</div><div class="gmail_default" style="font-family:verdana,sans-serif">W</div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Regards,<br>
Anand<br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">I don't think the execution is relevant when it was obviously a bad idea in the first place.<br>This is like putting rabid weasels in your pants, and later expressing regret at having chosen those particular rabid weasels and that pair of pants.<br>   ---maf</div></div></div>