<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body>
    <p>Arrgh. You are correct. I was so far down in the weeds, I didn't
      notice a rock had fallen on my head.</p>
    <p>I know I can re-enable SHA1 for everything on the host with:</p>
    <pre data-bidi-marker="true">update-crypto-policies --set DEFAULT:SHA1
</pre>
    <p>But that's a fairly broad stroke, when only 'named' needs to
      accept such signatures. Is there a way to narrow it down?<br>
    </p>
    <p><br>
    </p>
    <pre class="moz-signature" cols="72">--
Do things because you should, not just because you can. 

John Thurston    907-465-8591
<a class="moz-txt-link-abbreviated moz-txt-link-freetext" href="mailto:John.Thurston@alaska.gov">John.Thurston@alaska.gov</a>
Department of Administration
State of Alaska</pre>
    <div class="moz-cite-prefix">On 4/17/2024 9:21 AM, Ondřej Surý
      wrote:<br>
    </div>
    <blockquote type="cite" cite="mid:85D9132F-1A14-40F5-A2FC-4579E3F3C07B@isc.org">Let me
      guess - you are running on RHEL (without SHA-1 support) and
      dnssec-failed.org is signed with RSA/SHA-1…</blockquote>
  </body>
</html>