<div dir="ltr"><div dir="ltr">On Mon, Sep 9, 2019 at 6:48 AM Tony Finch <<a href="mailto:dot@dotat.at">dot@dotat.at</a>> wrote:</div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
[...]<br>
You should find that re-signing gets spread out over time due to update<br>
activity and because of the randomizing jitter that Mark mentioned. So on<br>
a more mature zone you might not get such an intense flurry of signature<br>
updates. The jitter is 1 hour (in normal configurations) and there isn't<br>
a direct way to change it, unlike the -j option to `dnssec-signzone`.<br></blockquote><div><br></div><div>In recent versions of BIND, the jitter is no longer 1 hour, but spread out over the signature validity period.</div><div><br></div><div>I filed an enhancement request about a year ago on this topic, and why BIND should spread out the jitter:</div><div><br></div><div>    <a href="https://gitlab.isc.org/isc-projects/bind9/issues/418">https://gitlab.isc.org/isc-projects/bind9/issues/418</a><br></div><div><br></div><div>The changes first appeared in BIND 9.12.3 I believe.</div><div><br></div><div>Shumon Huque</div><div><br></div><div> </div><div><br></div><div> </div></div></div>