<div dir="ltr"><div>Halo all,</div><div><br></div><div>Many year ago we set up DNSSEC, our key were generated with sha1 as was recommended way back all them years. We too are not DNSSEC guru, so some answer may be simple<br></div><div><br></div><div>Now we want to upsecure this to sha256.</div><div><br></div><div>Also we use ZSK -b 1024 and KSK -b 4096</div><div>even modern google from apnic show example  ZSK of only 1024? is this still secure?<br></div><div><br></div><div>Is best practise for doing this, replacing the keys completely, more or less like start fresh again?</div><div><br></div><div>We do use inline signing and automatic maintain.</div><div><br></div><div>I see 9.16 make it easy by not needing do anything but set policy, but we are stuck on 9.14 for time being.</div><div><br></div><div>I am ok with wiping DS, keys everything and start fresh if that is easiest, unless there is another simple way?</div><div><br></div></div>