<div dir="ltr"><br><div>Hi,</div><div><br></div><div>I'm at the point in DNSSEC algorithm migration<br>where I have two types of keys involved in signing.<br>Both algorithm 7 and 8 are in use.<br><br>The top level domain registrar also has DS keys set up for both 7 and 8.</div><div><br></div><div>I need to coordinate pulling out algorithm 7 with the domain registrar so our domain will be running against only algo 8.</div><div><br></div><div>Should the TLD registrar remove 7 first, or should I remove signing of zone<br>with the algo 7 keys before they make their change?<br><br></div><div>I noticed that when I tried removing signing with the algo 7 keys, and checked</div><div>the DNS state at <a href="https://dnsviz.net/d/acadiau.ca/dnssec/">https://dnsviz.net/d/acadiau.ca/dnssec/</a><br><br>I saw errors at the analyzer like this:<br><br><font color="#0b5394">The DS RRset for the zone included algorithm 7 (RSASHA1NSEC3SHA1), but no RRSIG with algorithm 7 covering the RRset was returned in the response.</font><br><br>I'm not sure if that would be a crippling error to DNS functionality <br>if I didn't reverse removal of algo 7 signing, which I've done after seeing this.<br><br>Can I do removal of algo 7 at one side prior to the<br>other (Bind signing vs TLD Registrar side),<br>or do we have to try to coordinate this with the TLD <br>registrar as closely as possible?<br><br><br></div><div><br></div></div>