<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, May 5, 2022 at 1:46 PM <<a href="mailto:nicolas@ncartron.org">nicolas@ncartron.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
On 5/5/22 6:37 PM, frank picabia <<a href="mailto:fpicabia@gmail.com" target="_blank">fpicabia@gmail.com</a>> wrote:<br>
> <br>
> Hi,<br>
> <br>
> I've been running a Bind set up with DNSSEC for many years.<br>
> It was done following the guide at the digitalocean site.<br>
> <br>
> What I don't find in a nice guide, is how to change your algorithm<br>
> to a more current one, and seamlessly make your domain<br>
> run under this new chain of data.<br>
> <br>
> I tried it on my own estimates of what would be required, and<br>
> it seemed to be poisoned by dropping mention of the prior<br>
> keys files in my DNS while the Internet's cached info<br>
> on our DS is still out there.  Whatever has happened,<br>
> I've got a running domain again, but there is an angry diagram<br>
> being drawn at <a href="https://dnsviz.net/" rel="noreferrer" target="_blank">https://dnsviz.net/</a> <<a href="https://dnsviz.net/" rel="noreferrer" target="_blank">https://dnsviz.net/</a>> when my domain <br>
> (which<br>
> will remain nameless) is analyzed.<br>
> <br>
> With DNS it is always hard to tell what is going on NOW due<br>
> to caching, and breakage works this way as well.<br>
> <br>
> Is there a guide on transitioning the DNSSEC signing algorithm,<br>
> or is ISC support the best way to handle this<br>
> and avoid the risk of total DNS calamity?<br>
<br>
Tony wrote a nice article about that: <a href="https://www.dns.cam.ac.uk/news/2020-01-15-rollover.html" rel="noreferrer" target="_blank">https://www.dns.cam.ac.uk/news/2020-01-15-rollover.html</a><br>
<br>
Cheers,<br>
<br>
-- <br>
Nico<br><br></blockquote><div><br></div><div>Thanks for that.  My problem is these notes have little in common with how the digital ocean guide<br>ran it ( <a href="https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server-2">https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server-2</a> ),</div><div>and I don't think our domain registrar supports CDS records.</div><div><br></div><div>I don't understand how people can run little rndc commands as if this sticks without putting<br>an include for the keys in the zone file.  In our setting, we re-sign the zone from our host management automation.<br>There's not enough parallel in the world of that Math department's server and what we have in our<br>host management in production.  Normally I'd be flexible to play around with something<br>like this if it were apache or something, but I just experienced a domain outage<br>that makes me prefer something I can really believe in.</div><div><br></div><div><br></div></div></div>