<div dir="ltr"><div dir="ltr">On Wed, Mar 25, 2020 at 9:04 AM Matthijs Mekking <<a href="mailto:matthijs@isc.org">matthijs@isc.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi HÃ¥kan,<br>
<br>
First of all, thanks for trying out the new dnssec-policy feature.<br>
<br>
I'll admit there is insufficient documentation and tooling around<br>
migration to dnssec-policy, possibly there is a bug too.<br></blockquote><div>[...]</div><div><br></div><div>HI Matthijs,</div><div><br></div><div>We are just starting to look at 9.16.x also, and are considering what it would take to move our current "auto-dnssec maintain" configuration to the new dnssec-policy feature.</div><div><br></div><div>We use NSEC3 though, and from your wiki, I see the following:</div><div><br></div><div>" Currently if you want to sign your zone with NSEC3 you can do so by introducing</div>an NSEC3PARAM record via Dynamic Update. This is no longer necessary with<br>dnssec-policy as you can configure NSEC3 usage in named.conf (NOT IMPLEMENTED YET)."</div><div class="gmail_quote"><br></div><div class="gmail_quote">Is the "NOT IMPLEMENTED YET" still accurate? And if accurate, can you elaborate on what that means? e.g. NSEC3 zones don't work at all? NSEC3 zones can be generated and served, but NSEC3 parameters cannot be managed/rolled? Or something else?</div><div class="gmail_quote"><br></div><div class="gmail_quote">If the latter, I was wondering if it is possible to combine pieces of the old and new ways, e.g. pre-configure an unsigned zone with an NSEC3 param using dynamic update or "rndc signing -nsec3param", and also use dnssec-policy to allow for maintenance of the DNSSEC keys? Our requirement though is that the signed zone needs to be NSEC3 out of the gate. At first glance, if I'm understanding the new configuration statements, that doesn't seem possible.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Thanks!</div><div class="gmail_quote">Shumon Huque.</div><div class="gmail_quote"><br></div></div>