<div dir="ltr">Only if KSK has DSState: rumoured. If the DSState is hidden it means<br>that it is not expected to be in the parent (for example because the<br>DNSKEY has not yet been fully propagated).<br><br><br>> Do you need to withdraw the old key too immediatly ? anything else to do ?<br><br><font color="#9900ff">>>> Do you mean withdraw the old DS?</font><br><br>Yes, the old DS should be not yet withdraw because some RRSIG could be still valid ? or can i withdraw the old DS / KSK immediatly ?<br><br>In my logic :<br>For each file en .state<br>    If is KSK with "DSState: rumoured" or "DSState: hidden"<br>        If not in my registar (dig ds <my_zone> +dnssec +multiline)<br>            Publish on my Registar(api register)<br>            Notify Bind(bind rndc dnssec -checkds -key <New ID KSK> published <my_zone>)<br>            Notify Bind(bind rndc dnssec -checkds -key <Old ID KSK> withdraw <my_zone>)<br><br>In my understanding, i shouldn't do "Notify Bind(bind rndc dnssec -checkds -key <Old ID KSK> withdraw <my_zone>)" and wait until all RRSIG sign (with the old KSK) expire. In that case, how can i check this ? (some dig command ? or check state file for "DSState: unretentive" ?)<br><br>regards,<br><div><br></div><div>Adrien</div></div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le ven. 17 mai 2024 à 15:13, Matthijs Mekking <<a href="mailto:matthijs@isc.org">matthijs@isc.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
On 5/16/24 14:02, adrien sipasseuth wrote:<br>
> Hello,<br>
> <br>
> I try to set up a testing environment in order to create some scripts <br>
> for automated the roll over KSK.<br>
> <br>
> ############# question 1 #############<br>
> this is my policy :<br>
> <br>
> dnssec-policy "test" {<br>
>      keys {<br>
>          ksk lifetime P3D algorithm ecdsa256 2048;<br>
>          zsk lifetime P1D algorithm ecdsa256 2048;<br>
>      };<br>
> <br>
>      // Key timings<br>
>      purge-keys P4D;<br>
> <br>
>      // Signature timings<br>
>      signatures-refresh  PT50M;<br>
>      signatures-validity PT1H;<br>
>      signatures-validity-dnskey PT1H;<br>
> <br>
>      // Zone parameters<br>
>      max-zone-ttl PT1H;<br>
>      parent-ds-ttl PT1H;<br>
> <br>
> };<br>
> <br>
> I would like automaticly update new DS to my registar, to do it this my <br>
> logic :<br>
> <br>
> For each file en .state<br>
>      If is KSK with "DSState: rumoured" or "DSState: hidden"<br>
>          If not in my registar (dig ds <my_zone> +dnssec +multiline)<br>
>              Publish on my Registar(api register)<br>
>              Notify Bind(bind rndc dnssec -checkds -key <ID> published <br>
> <my_zone>)<br>
<br>
Only if KSK has DSState: rumoured. If the DSState is hidden it means <br>
that it is not expected to be in the parent (for example because the <br>
DNSKEY has not yet been fully propagated).<br>
<br>
<br>
> Do y need to withdraw the old key too immediatly ? anything else to do ?<br>
<br>
Do you mean withdraw the old DS?<br>
<br>
I would use similar logic but then use "unretentive" instead of <br>
"rumoured". Following the example above:<br>
<br>
For each file en .state<br>
       If is KSK with "DSState: unretentive"<br>
           If in my registar (dig ds <my_zone> +dnssec +multiline)<br>
               Withdraw on my Registar(api register)<br>
               Notify Bind(bind rndc dnssec -checkds -key <ID> withdrawn<br>
<br>
<br>
> ############# question 2 #############<br>
> If i want to unsigned a zone, i change my policy to "insecure" which is <br>
> default but file like <my_zone>.signed still exist, Bind doesn't remove it ?<br>
<br>
Correct. If all DNSSEC records have been removed, it is safe to remove <br>
the "dnssec-policy" configuration from your named.conf and then remove <br>
the .signed file.<br>
<br>
Unsigning your zone also takes time.<br>
<br>
<br>
> ############# question 3 #############<br>
> <br>
> In state file, when the remove date issue, can i just remove the key, <br>
> anything else to do ?<br>
<br>
When all states are "hidden" it is safe to remove the key.<br>
<br>
Best regards,<br>
<br>
Matthijs<br>
<br>
<br>
> Regards,<br>
> Adrien SIPASSEUTH<br>
> <br>
> <br>
> <br>
-- <br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>