<div dir="ltr"><div dir="ltr">On Thu, Mar 26, 2020 at 7:27 PM Håkan Lindqvist via bind-users <<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2020-03-26 23:00, Mark Andrews wrote:<br>
> dnssec-policy should be independent of inline-signing.  If it isn’t then it is a bug.<br>
><br>
> It just people like editing master files rather than using nsupdate to make changes.<br>
<br>
Ok, thank you for clarifying what should be expected.<br>
<br>
I guess that leaves the question of whether I am reading too much into <br>
the new behavior.<br>
<br>
In addition to my DNSKEY issues, I do get two new files when switching a <br>
zone to dnssec-policy: .signed + .signed.jnl.<br>
To me this seems like the result of inline signing having been enabled, <br>
but maybe this could happen for some other reason?<br></blockquote><div><br></div><div>I suspect dnssec-policy is re-using a lot of the code that did inline signing, only applying it to local unsigned zone file rather than one that was fetched from a remote master via zone transfer (hence my last note about a new interpretation of the term).</div><div><br></div><div>In fact, "rndc zonestatus" reports the same for a very simple dnssec-policy test on a local zone I did:</div><div><br></div><div>$ rndc zonestatus foo.test<br>name: foo.test<br>type: master<br>files: zones/foo.test/zonefile<br>serial: 1000000251<br>signed serial: 1000000257<br>nodes: 5<br>last loaded: Wed, 25 Mar 2020 17:52:09 GMT<br>secure: yes<br>inline signing: yes</div><div>^^^^^^^^^^^^^^^^^</div><div>key maintenance: automatic<br></div><div>next key event: Sat, 28 Mar 2020 20:45:44 GMT<br>next resign node: foo.test/NS<br>next resign time: Sat, 28 Mar 2020 08:40:06 GMT<br>dynamic: yes<br>frozen: no<br>reconfigurable via modzone: no</div><div><br></div><div>Shumon Huque</div><div><br></div></div></div>