<div dir="ltr"><div dir="ltr"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><br></div></div></div></div></div></div></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 15, 2021 at 2:57 AM Matthijs Mekking <<a href="mailto:matthijs@isc.org">matthijs@isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
On 14-04-2021 22:30, Greg Rivers via bind-users wrote:<br>
> On Wednesday, 14 April 2021 15:00:38 CDT Bob Harold wrote:<br>
>> Does anyone have an automated KSK roll process, that checks for the DS<br>
>> record at the parent, that they can share?<br>
>><br>
>> As far as I can tell, the automated signing in BIND will roll the KSK if I<br>
>> set the timing in the policy file, but it won't check the DS record, so it<br>
>> will happily break DNSSEC if some other process does not update the DS<br>
>> record at the right time.  That's too big a risk for me, the process needs<br>
>> to check the DS record before completing the KSK roll.  Surely someone has<br>
>> done this.  I would rather not reinvent the wheel.  But I have searched and<br>
>> not found anything yet.<br>
>><br>
> As I understand it, the way it works now is that the actual KSK rollover won't occur until you execute `rndc dnssec -checkds ...` [1].<br>
<br>
That is correct.<br>
<br>
> I'm hopeful that named will fully automate this check at some point soon.<br>
<br>
It is on the roadmap:<br>
<br>
<a href="https://gitlab.isc.org/isc-projects/bind9/-/issues/1126" rel="noreferrer" target="_blank">https://gitlab.isc.org/isc-projects/bind9/-/issues/1126</a><br>
<br>
- Matthijs<br>
<br>
<br>
> [1] <<a href="https://dnssec-guide.readthedocs.io/en/latest/signing.html#working-with-the-parent-zone-2" rel="noreferrer" target="_blank">https://dnssec-guide.readthedocs.io/en/latest/signing.html#working-with-the-parent-zone-2</a>><br>
> <br><br></blockquote><div>Thank you both very much.  I missed that, and I am testing with the RedHat RHEL7 version of BIND 9.11, which does not seem to wait.  Looks like I will need to run a newer version of BIND, at least on my in-line signing server.</div><div><br></div><div>-- </div><div>Bob Harold</div><div>University of Michigan</div><div><br></div></div></div>