<div dir="ltr"><span id="gmail-docs-internal-guid-9f86060a-7fff-856a-3424-fa45eb234b92"><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-variant-numeric:normal;font-variant-east-asian:normal;vertical-align:baseline;white-space:pre-wrap">Does anyone have an automated KSK roll process, that checks for the DS record at the parent, that they can share?</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-variant-numeric:normal;font-variant-east-asian:normal;vertical-align:baseline;white-space:pre-wrap"><br></span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-variant-numeric:normal;font-variant-east-asian:normal;vertical-align:baseline;white-space:pre-wrap">As far as I can tell, the automated signing in BIND will roll the KSK if I set the timing in the policy file, but it won't check the DS record, so it will happily break DNSSEC if some other process does not update the DS record at the right time.  That's too big a risk for me, the process needs to check the DS record before completing the KSK roll.  Surely someone has done this.  I would rather not reinvent the wheel.  But I have searched and not found anything yet.</span></p></span><br class="gmail-Apple-interchange-newline"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><br>-- <br>Bob Harold</div><div>DNS and DHCP Hostmaster - UMNet<br>Information and Technology Services (ITS)<br><a href="mailto:rharolde@umich.edu" target="_blank">rharolde@umich.edu</a>   <br></div></div></div></div></div></div></div>