<div dir="ltr"><br><div>Hi,</div><div><br></div><div>I've been running a Bind set up with DNSSEC for many years.</div><div>It was done following the guide at the digitalocean site.</div><div><br></div><div>What I don't find in a nice guide, is how to change your algorithm</div><div>to a more current one, and seamlessly make your domain<br>run under this new chain of data.</div><div><br></div><div>I tried it on my own estimates of what would be required, and<br>it seemed to be poisoned by dropping mention of the prior</div><div>keys files in my DNS while the Internet's cached info<br>on our DS is still out there.  Whatever has happened,<br>I've got a running domain again, but there is an angry diagram<br>being drawn at <a href="https://dnsviz.net/">https://dnsviz.net/</a> when my domain (which<br>will remain nameless) is analyzed.</div><div><br></div><div>With DNS it is always hard to tell what is going on NOW due<br>to caching, and breakage works this way as well.</div><div><br></div><div>Is there a guide on transitioning the DNSSEC signing algorithm,<br>or is ISC support the best way to handle this</div><div>and avoid the risk of total DNS calamity?</div><div><br></div><div><br></div></div>