<div dir="ltr"><br><div>The algorithm migration I made to 8 has worked well.<br>Getting green lights on DNSSEC checkers, etc.</div><div><br></div><div>The only odd bit is some warnings at <a href="http://DNSVIS.NET">DNSVIS.NET</a><br>about DS records using digest algorithm 1.</div><div><br><span style="color:rgb(51,51,51);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:12.0224px;background-color:rgb(255,250,143)">DNSSEC specification prohibits signing with DS records that use digest algorithm 1 (SHA-1).</span><br><br></div><div>Somehow the way I do the zone signing results in 2 pairs of DS<br>records - one with digest algorithm 2 and one with algorithm 1.</div><div><br>This is the command I've been running lately:<br><br></div><div>/sbin/dnssec-signzone -A -3 - -N keep -o <a href="http://mydomain.ca">mydomain.ca</a> -t -f forward/mydomain.ca.signed forward/<a href="http://mydomain.ca">mydomain.ca</a><br></div><div><br></div><div>As per the howtos I followed years ago, I've provided the domain registrar<br>with both DS key records (one key number, two digest algorithms).<br><br><a href="http://mydomain.ca">mydomain.ca</a>. IN DS 20084 8 1 42419294EC592BFE044D256126F0420212E4E619<br><a href="http://mydomain.ca">mydomain.ca</a>. IN DS 20084 8 2 827039A146CD8CD4528627BCB1351219FA7C36CFA54F702F2592047DEFE9C416<br><br>In the diagram at <a href="http://DNSVIS.NET">DNSVIS.NET</a>, it looks like the DS with alg 1<br>is dangling at the top level domain (.ca) with the yellow warning as per above,<br>while the alg 2 links to my domain's DNSKEY properly.<br><br>How should I tidy up this digest algo 1?  Do I simply remove it at the domain registrar,<br>or is there a better way to run dnssec-signzone?<br><br><br><br></div></div>