<div dir="auto">I was hoping someone's experience could save me as I've spent too much time down this rabbit hole.<div dir="auto"><br></div><div dir="auto">Primary nameserver is behind a cache/proxy on enterprise network such that all external traffic hits this. Zone went bogus. I blame policy but on further inspection 2/3 proxys had differing TTL between the DNSKEY and it's RRSIG.</div><div dir="auto"><br></div><div dir="auto">I dove into RFC but not yet the code. I believe any security aware system would throw out the DNSKEY with the RRSIG.</div><div dir="auto"><br></div><div dir="auto">I suspect that the signature hit the absolute time, got a fresh copy, and the DNSKEY stuck around another 2 days (1 week TTL). Now if the system wasn't security aware, I'm not sure how the TTL became unmatched but I can see that it could happen. I guess?</div><div dir="auto"><br></div><div dir="auto">The questions</div><div dir="auto"><br></div><div dir="auto">- is this system broken?</div><div dir="auto">- can I work around it with creative policy / TTL</div><div dir="auto">- can explain other cases these can get unmatched TTL?</div><div dir="auto"><br></div><div dir="auto">A low TTL would minimize it but appliance doesn't allow direct configuration for DNSKEY TTL.</div><div dir="auto"><br></div><div dir="auto">Thanks for your input</div><div dir="auto">Scott</div><div dir="auto">- </div></div>