<div dir="ltr"><div>I've been using open source for decades.  Long enough that I rarely need to use lists for help.</div><div><br></div><div>Here's the RFC mentioning reserved domain name use:  <a href="https://www.rfc-editor.org/rfc/rfc2606.html">https://www.rfc-editor.org/rfc/rfc2606.html</a><br></div><div><br>I am ridiculed by an ISC member for using a reserved domain according to the purpose in the RFC and then<br>a second ISC member states I am arrogant?   I think there's a bunch of you that need to check your privilege!<br>Or maybe these persons are the chief whips responsible for driving people from the lists into paying customers?</div><div><br></div><div>Check other lists.  Postfix. Apache.  Whatever.  No one ever has an issue when they see <a href="http://example.com">example.com</a></div><div>It's widely known as the boilerplate value you're leaving out of the equation for the moment.</div><div><br></div><div>In the documentation I see this:<br><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span style="color:rgb(64,64,64);font-family:Lato,proxima-nova,"Helvetica Neue",Arial,sans-serif;font-size:16px;background-color:rgb(252,252,252)">Once the </span><a class="gmail-reference gmail-internal" href="https://bind9.readthedocs.io/en/v9_18_2/manpages.html#cmdoption-rndc-arg-reconfig" style="box-sizing:border-box;color:rgb(41,128,185);text-decoration-line:none;font-family:Lato,proxima-nova,"Helvetica Neue",Arial,sans-serif;font-size:16px;background-color:rgb(252,252,252)"><code class="gmail-xref gmail-std gmail-std-option gmail-docutils gmail-literal gmail-notranslate" style="box-sizing:border-box;font-family:SFMono-Regular,Menlo,Monaco,Consolas,"Liberation Mono","Courier New",Courier,monospace;font-size:12px;white-space:nowrap;max-width:100%;background:rgb(255,255,255);border:1px solid rgb(225,228,229);padding:2px 5px;color:rgb(64,64,64);overflow-x:auto;font-weight:bold"><span class="gmail-pre" style="box-sizing:border-box">rndc</span> <span class="gmail-pre" style="box-sizing:border-box">reconfig</span></code></a><span style="color:rgb(64,64,64);font-family:Lato,proxima-nova,"Helvetica Neue",Arial,sans-serif;font-size:16px;background-color:rgb(252,252,252)"> command is issued, BIND serves a signed zone. The file </span><code class="gmail-docutils gmail-literal gmail-notranslate" style="box-sizing:border-box;font-family:SFMono-Regular,Menlo,Monaco,Consolas,"Liberation Mono","Courier New",Courier,monospace;font-size:12px;white-space:nowrap;max-width:100%;background-image:initial;background-position:initial;background-size:initial;background-repeat:initial;background-origin:initial;background-clip:initial;border:1px solid rgb(225,228,229);padding:2px 5px;color:rgb(231,76,60);overflow-x:auto"><span class="gmail-pre" style="box-sizing:border-box"><a href="http://dsset-example.com">dsset-example.com</a></span></code><span style="color:rgb(64,64,64);font-family:Lato,proxima-nova,"Helvetica Neue",Arial,sans-serif;font-size:16px;background-color:rgb(252,252,252)"> (created by </span><a class="gmail-reference gmail-internal" href="https://bind9.readthedocs.io/en/v9_18_2/manpages.html#std-iscman-dnssec-signzone" style="box-sizing:border-box;color:rgb(41,128,185);text-decoration-line:none;font-family:Lato,proxima-nova,"Helvetica Neue",Arial,sans-serif;font-size:16px;background-color:rgb(252,252,252)"><code class="gmail-xref gmail-std gmail-std-iscman gmail-docutils gmail-literal gmail-notranslate" style="box-sizing:border-box;font-family:SFMono-Regular,Menlo,Monaco,Consolas,"Liberation Mono","Courier New",Courier,monospace;font-size:12px;white-space:nowrap;max-width:100%;background:rgb(255,255,255);border:1px solid rgb(225,228,229);padding:2px 5px;color:rgb(64,64,64);overflow-x:auto;font-weight:bold"><span class="gmail-pre" style="box-sizing:border-box">dnssec-signzone</span></code></a><span style="color:rgb(64,64,64);font-family:Lato,proxima-nova,"Helvetica Neue",Arial,sans-serif;font-size:16px;background-color:rgb(252,252,252)"> when it signed the </span><code class="gmail-docutils gmail-literal gmail-notranslate" style="box-sizing:border-box;font-family:SFMono-Regular,Menlo,Monaco,Consolas,"Liberation Mono","Courier New",Courier,monospace;font-size:12px;white-space:nowrap;max-width:100%;background-image:initial;background-position:initial;background-size:initial;background-repeat:initial;background-origin:initial;background-clip:initial;border:1px solid rgb(225,228,229);padding:2px 5px;color:rgb(231,76,60);overflow-x:auto"><span class="gmail-pre" style="box-sizing:border-box"><a href="http://example.com">example.com</a></span></code><span style="color:rgb(64,64,64);font-family:Lato,proxima-nova,"Helvetica Neue",Arial,sans-serif;font-size:16px;background-color:rgb(252,252,252)"> zone) contains the DS record for the zone’s KSK. You will need to pass that to the administrator of the parent zone, to be placed in the zone.</span></blockquote></div></blockquote><div><br></div><div>It seems the first value in dsset file is okay.  The documentation doesn't talk about the second one, and this is where<br>the problem is seen.  I see one value on the second key (digest 2) in dsset file, and a different value using the value<br>obtained by running something like:<br><br><pre style="white-space:pre-wrap;box-sizing:inherit;font-family:Menlo,Monaco,Consolas,"Courier New",monospace;font-size:14.4px;margin-top:0px;margin-bottom:24px;border-radius:0px;background-color:rgb(242,242,242);padding:10.667px 16px;overflow:auto;line-height:1.5;color:rgb(64,64,64)">dig @localhost dnskey <a href="http://irrashai.net/" target="_blank">irrashai.net</a> | dnssec-dsfromkey -f – <a href="http://irrashai.net/" target="_blank">irrashai.net</a></pre></div><div>The digest 2 second key here seems to be what should be used with the domain registrar.  I'll soon find out.</div><div><br></div><div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, May 16, 2022 at 2:54 PM Ondřej Surý <<a href="mailto:ondrej@isc.org">ondrej@isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Well, then don’t expect people will want to help you. If you need to hide the information and you need help then you should be prepared to pay for the support. Coming to open source list asking for help for free and expect other people to help you is just plain arrogant behavior. Again, Bert Hubert was exactly right here:<div><br></div><div><a href="https://berthub.eu/articles/posts/anonymous-help/" target="_blank">https://berthub.eu/articles/posts/anonymous-help/</a><br><div><br>Ondrej<br><div dir="ltr"><div>--</div>Ondřej Surý — ISC (He/Him)<div><br></div><div>My working hours and your working hours may be different. Please do not feel obligated to reply outside your normal working hours.</div></div><div dir="ltr"><br><blockquote type="cite">On 16. 5. 2022, at 19:06, frank picabia <<a href="mailto:fpicabia@gmail.com" target="_blank">fpicabia@gmail.com</a>> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><div>Suppose I was working on a problem for Barclays<br>Bank, do you suppose they would be thrilled with me posting<br>their networking innards for the world to see?</div><div></div></div></blockquote></div></div></div></blockquote></div></div>