<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, May 5, 2022 at 3:48 PM Tony Finch <<a href="mailto:fanf@isc.org">fanf@isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">frank picabia <<a href="mailto:fpicabia@gmail.com" target="_blank">fpicabia@gmail.com</a>> wrote:<br>
> On Thu, May 5, 2022 at 1:46 PM <<a href="mailto:nicolas@ncartron.org" target="_blank">nicolas@ncartron.org</a>> wrote:<br>
> ><br>
> > Tony wrote a nice article about that:<br>
> > <a href="https://www.dns.cam.ac.uk/news/2020-01-15-rollover.html" rel="noreferrer" target="_blank">https://www.dns.cam.ac.uk/news/2020-01-15-rollover.html</a><br>
><br>
> Thanks for that.  My problem is these notes have little in common with how<br>
> the digital ocean guide<br>
> ran it (<br>
> <a href="https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server-2" rel="noreferrer" target="_blank">https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server-2</a><br>
> ),<br>
<br>
That guide is sadly very out of date. You really don't want to use SHA1<br>
(<a href="https://www.dns.cam.ac.uk/news/2020-01-09-sha-mbles.html" rel="noreferrer" target="_blank">https://www.dns.cam.ac.uk/news/2020-01-09-sha-mbles.html</a>)<br>
and for at least 10 years it has been much easier to use `named`s<br>
automatic signing than to use dnssec-signzone.<br>
<br>
I think if you are still using `dnssec-signzone`, I would recommend<br>
switching over to automatic signing with your existing keys, before doing<br>
an algorithm rollover. And set up a test zone so that you can run through<br>
the process a few times, so that you can learn from your mistakes before<br>
doing it in production.<br>
<br>
> and I don't think our domain registrar supports CDS records.<br>
<br>
You can ignore the CDS stuff - my registrar didn't support it either, but<br>
I have tools that can use my CDS records to work out the correct thing to<br>
tell my registrar to do.<br>
<br>
> I don't understand how people can run little rndc commands as if this<br>
> sticks without putting an include for the keys in the zone file.<br>
<br>
`named` automatically adds the keys to the zone according to the timing<br>
information in the key files. (At least, that's the way I did it before<br>
dnssec-policy made things even more automatic.)<br><br></blockquote><div><br></div><div>Agreed that the digital ocean guide is out of date. That's why I'm redoing the steps with<br>algorithm 8.  In our case, we have a DNS service to protect from DDOS<br>and we need to transfer the whole zone to them periodically or from updates.<br>I don't think the Bind built-in signing would work for this situation.</div><div><br> </div></div></div>