<div dir="ltr">Hello,<br><br>I put the management of DNSSEC with KASP, the zone is well functional. (dig with "AD" flag etc)<br><br>On the other hand, I can't see when the key rollover period for my KSK is over (2 KSKs with a dig DNSKEY...)<br><br>Without KASP, it was easy because I generated the second KSK key but with KASP, it is managed automatically.<br><br>So, I have to adapt my scripts to check that there is : <br> - a used KSK key and a next KSK key<br> - Or only one KSK key used (if we are not in rollover phase)<br><br>Except that with my current policy, I never see 2 KSKs via a "dig DNSKEY...".<br>here is my policy :<br><br>dnssec-policy "test" {<br>    keys {<br>        ksk lifetime P7D algorithm ecdsa256;<br>        zsk lifetime P3D algorithm ecdsa256;<br>    };<br>    purge-keys 1d;<br>    publish-safety 3d;<br>    retire-safety 3d;<br>};<br><br>I see either my KSK in use or my next KSK (via "dig DNSKEY...") but never both at the same time.<br><br>Is this a normal behavior or am I doing it wrong?<br><br><div>Regards, Adrien<br></div></div>