<div dir="ltr"><div dir="ltr">On Thu, Mar 26, 2020 at 3:35 PM Håkan Lindqvist via bind-users <<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
A related thing that I've noticed in my tests is that "dnssec-policy x" <br>
seems to also imply "inline-signing yes"?<br>
Is this intended as a strict requirement, it seems a little awkward?<br></blockquote><div><br></div><div>I'm sure ISC colleagues will elucidate more, but it sounds to me like a new interpretation. of "inline-signing", i.e. the dnssec-policy feature takes an unsigned local zone file as input, and generates and maintains a new signed file ("origfile.signed"). UPDATEs continue to go to the orig file and ("inline?") signed deltas go into the signed file (well journal first and synced later). It would probably be helpful to have the mechanics of this new feature written up in detail somewhere so that operators know what is actually going on.</div><div><br></div><div>Shumon Huque</div><div><br></div><div><br></div></div></div>