<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=big5">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif;" dir="ltr">
<p></p>
<div></div>
<p data-start="226" data-end="231">Hi,</p>
<p data-start="233" data-end="566">I'm trying out DNSSEC policy for the first time, and I am so confused about the time states¡Xhow they calculate the time for the state of the records to change. I really need help because I have a ton of questions (<span data-start="451" data-end="458">I'm</span>
 using BIND 9.18.31, btw). I want to understand how it works step by step, so I'm checking out everything.</p>
<h3 data-start="568" data-end="653"><strong data-start="572" data-end="651">1. When BIND 9 first starts signing DNSSEC, the record states go like this:</strong></h3>
<p data-start="655" data-end="674"><strong data-start="655" data-end="672">DNSKEY (KSK):</strong></p>
<ul data-start="675" data-end="781">
<li data-start="675" data-end="701"><strong data-start="677" data-end="699">publish = rumoured</strong></li><li data-start="702" data-end="781"><strong data-start="704" data-end="730">rumoured ¡÷ omnipresent</strong> =
<code data-start="733" data-end="775">dnskey-ttl + zone delay + publish safety</code> (1)</li></ul>
<p data-start="783" data-end="792"><strong data-start="783" data-end="790">DS:</strong></p>
<ul data-start="793" data-end="951">
<li data-start="793" data-end="817"><strong data-start="795" data-end="815">publish = hidden</strong></li><li data-start="818" data-end="857"><strong data-start="820" data-end="841">hidden ¡÷ rumoured</strong> = ??? (2) (3)</li><li data-start="858" data-end="951"><strong data-start="860" data-end="898">rumoured (DSpublish) ¡÷ omnipresent</strong> =
<code data-start="901" data-end="945">ds-ttl + parent-zone-delay + retire safety</code> (4)</li></ul>
<p data-start="953" data-end="969"><strong data-start="953" data-end="967">Key RRSIG:</strong></p>
<ul data-start="970" data-end="1076">
<li data-start="970" data-end="996"><strong data-start="972" data-end="994">publish = rumoured</strong></li><li data-start="997" data-end="1076"><strong data-start="999" data-end="1025">rumoured ¡÷ omnipresent</strong> =
<code data-start="1028" data-end="1070">dnskey-ttl + zone delay + publish safety</code> (1)</li></ul>
<p data-start="1078" data-end="1097"><strong data-start="1078" data-end="1095">DNSKEY (ZSK):</strong></p>
<ul data-start="1098" data-end="1204">
<li data-start="1098" data-end="1124"><strong data-start="1100" data-end="1122">publish = rumoured</strong></li><li data-start="1125" data-end="1204"><strong data-start="1127" data-end="1153">rumoured ¡÷ omnipresent</strong> =
<code data-start="1156" data-end="1198">dnskey-ttl + zone delay + publish safety</code> (1)</li></ul>
<p data-start="1206" data-end="1223"><strong data-start="1206" data-end="1221">Zone RRSIG:</strong></p>
<ul data-start="1224" data-end="1290">
<li data-start="1224" data-end="1250"><strong data-start="1226" data-end="1248">publish = rumoured</strong></li><li data-start="1251" data-end="1290"><strong data-start="1253" data-end="1279">rumoured ¡÷ omnipresent</strong> = ?? (5)</li></ul>
<h3 data-start="1292" data-end="1324"><strong data-start="1296" data-end="1322">Here are my questions:</strong></h3>
<p data-start="1325" data-end="1850">(1) Since this is the first key, I guess the formula should be
<code data-start="1388" data-end="1417">zone delay + publish safety</code>?<br data-start="1418" data-end="1421">
(2) I have no idea how this works.<br data-start="1455" data-end="1458">
(3) Same with <code data-start="1472" data-end="1484">PublishCDS</code>. What is the formula, and why?
<span data-start="1516" data-end="1531">Must I wait</span> for <code data-start="1536" data-end="1541">
CDS</code> to be published before submitting <code data-start="1576" data-end="1580">
DS</code> to the parent zone?<br data-start="1600" data-end="1603">
(4) This only makes sense when rolling a key. Should the formula be <code data-start="1671" data-end="1723">
parent-delay + publish safety (of the parent zone)</code>?<br data-start="1724" data-end="1727">
(5) I have absolutely no idea, but it looks like it changes at the same time as when the DS goes from hidden to rumoured.</p>
<hr data-start="1852" data-end="1855">
<h3 data-start="1857" data-end="1934"><strong data-start="1861" data-end="1932">2. Then I tried a ZSK rollover, which turned out to be a bit weird.</strong></h3>
<ul data-start="1936" data-end="2488">
<li data-start="1936" data-end="2018">If the KSK is <strong data-start="1952" data-end="1967">
omnipresent</strong>, ZSK will roll using the <strong data-start="1993" data-end="2008">
pre-publish</strong> method.</li><li data-start="2019" data-end="2108">If the KSK is <strong data-start="2035" data-end="2054">
not omnipresent</strong>, ZSK will roll using the <strong data-start="2080" data-end="2098">
double-signing</strong> method.</li><li data-start="2109" data-end="2226">The new ZSK is <strong data-start="2126" data-end="2175">
published and starts signing at the same time</strong>, but it initially <strong data-start="2194" data-end="2223">
only signs the SOA record</strong>.</li><li data-start="2227" data-end="2305">When I query the SOA record, <strong data-start="2258" data-end="2302">
two RRSIGs (from both ZSKs) are returned</strong>.</li><li data-start="2306" data-end="2367">The rest of the zone <strong data-start="2329" data-end="2364">
remains signed with the old ZSK</strong>.</li><li data-start="2368" data-end="2438">After a while, the entire zone <strong data-start="2401" data-end="2435">
switches to the new ZSK RRSIGs</strong>.</li><li data-start="2439" data-end="2488">Then, <code data-start="2447" data-end="2454">
named</code> <strong data-start="2455" data-end="2485">removes the old ZSK DNSKEY</strong>.</li></ul>
<p data-start="2490" data-end="2541">The timeline is even <strong data-start="2511" data-end="2522">
weirder</strong> than I expected.</p>
<p data-start="2490" data-end="2541">Is this normal? Should i avoid this situation in reality?</p>
<br>
<p></p>
</div>
</body>
</html>