<div dir="ltr"><div>Hello <br></div><div><br></div><div>Thank you very much for the reply. I thought this was happening automatically because I used <code>dnssec-policy</code>. If it’s not happening, is there something else that can help me automate this process by withdrawing the key ?</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Nov 8, 2024 at 12:58 AM Crist Clark <<a href="mailto:cjc%2Bbind-users@pumpky.net">cjc+bind-users@pumpky.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">You need to tell BIND the DS is gone from the parent. See the usage for,</div><div dir="auto"><br></div><div dir="auto">rndc dnssec -checkds withdrawn <zone></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Nov 7, 2024 at 12:04 PM Τάσος Λολότσης <<a href="mailto:tlolotsis@gmail.com" target="_blank">tlolotsis@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Hello  all,<div dir="auto"><br></div><div dir="auto"> I’m currently facing an issue with DNSSEC key management in BIND and would appreciate any insights or experiences you might have.</div><div dir="auto"><br></div><div dir="auto">I have configured a DNSSEC policy for my domain with the following settings:</div><div dir="auto"><br></div><div dir="auto">keys {</div><div dir="auto">    csk key-directory lifetime P365D algorithm ecdsa256;</div><div dir="auto">};</div><div dir="auto"><br></div><div dir="auto">// Key timings</div><div dir="auto">dnskey-ttl PT1H;</div><div dir="auto">publish-safety PT1H;</div><div dir="auto">retire-safety PT1H;</div><div dir="auto">purge-keys P30D;</div><div dir="auto"><br></div><div dir="auto">// Signature timings</div><div dir="auto">signatures-refresh P5D;</div><div dir="auto">signatures-validity P14D;</div><div dir="auto">signatures-validity-dnskey P14D;</div><div dir="auto"><br></div><div dir="auto">// Zone parameters</div><div dir="auto">max-zone-ttl P1D;</div><div dir="auto">zone-propagation-delay PT5M;</div><div dir="auto">parent-ds-ttl P1D;</div><div dir="auto">parent-propagation-delay PT1H;</div><div dir="auto"><br></div><div dir="auto">After running the command dnssec -status, I see the following key status for </div><div dir="auto"><br></div><div dir="auto">Key ID: 1002 (ECDSAP256SHA256):</div><div dir="auto"><br></div><div dir="auto">Published: Yes - since Wed Oct 4 14:01:53 2023</div><div dir="auto">Key Signing: Yes - since Wed Oct 4 14:01:53 2023</div><div dir="auto">Zone Signing: No</div><div dir="auto">Key is Retired: Will be removed on Sun Oct 13 15:06:53 2024</div><div dir="auto"><br></div><div dir="auto">Goal: Hidden</div><div dir="auto">DNSKEY: Omnipresent</div><div dir="auto">DS: Unretentive</div><div dir="auto">Zone RRSIG: Hidden</div><div dir="auto">Key RRSIG: Omnipresent</div><div dir="auto"><br></div><div dir="auto">Also this is the details status of the Key </div><div dir="auto"><br></div><div dir="auto">Algorithm: 13</div><div dir="auto">Length: 256</div><div dir="auto">Lifetime: 31536000</div><div dir="auto">Successor: 39133</div><div dir="auto">KSK: yes</div><div dir="auto">ZSK: yes</div><div dir="auto">Generated: 20231004120153 (Wed Oct  4 14:01:53 2023)</div><div dir="auto">Published: 20231004120153 (Wed Oct  4 14:01:53 2023)</div><div dir="auto">Active: 20231004120153 (Wed Oct  4 14:01:53 2023)</div><div dir="auto">Retired: 20241003120153 (Thu Oct  3 14:01:53 2024)</div><div dir="auto">Removed: 20241013130653 (Sun Oct 13 15:06:53 2024)</div><div dir="auto">DSPublish: 20231120105349 (Mon Nov 20 11:53:49 2023)</div><div dir="auto">PublishCDS: 20231005130653 (Thu Oct  5 15:06:53 2023)</div><div dir="auto">DNSKEYChange: 20231004140653 (Wed Oct  4 16:06:53 2023)</div><div dir="auto">ZRRSIGChange: 20241013130653 (Sun Oct 13 15:06:53 2024)</div><div dir="auto">KRRSIGChange: 20231004140653 (Wed Oct  4 16:06:53 2023)</div><div dir="auto">DSChange: 20241003120153 (Thu Oct  3 14:01:53 2024)</div><div dir="auto">DNSKEYState: omnipresent</div><div dir="auto">ZRRSIGState: hidden</div><div dir="auto">KRRSIGState: omnipresent</div><div dir="auto">DSState: unretentive</div><div dir="auto">GoalState: hidden</div><div dir="auto">I am using the DNSSEC policy settings as shown above, but it appears that BIND is not automatically removing the key as expected. </div><div dir="auto"><br></div><div dir="auto">The key still seems to be in use, and it has not been removed from the system despite reaching its retirement and removal dates.</div><div dir="auto"><br></div><div dir="auto">Has anyone else experienced similar issues with DNSSEC policies in BIND? </div><div dir="auto"><br></div><div dir="auto">If so, how did you resolve it? Any advice on troubleshooting or correcting this issue would be greatly appreciated.</div></div>
-- <br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div></div>
</blockquote></div>