<p dir="ltr">Quite an unusual setup, but off the top of my head, my instinct tells me it would work. Not just for KSKs but also for ZSKs.</p>
<p dir="ltr">All keys get authorized by a signature by any of the keys pointed to by the DS RRs.</p>
<br><div class="gmail_quote"><div dir="ltr">On Tue, 11 Jul 2017, 00:14 Rubens Kuhl, <<a href="mailto:rubensk@nic.br">rubensk@nic.br</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
My reading of DNSSEC RFCs couldn't negate or confirm whether the DNSSEC architecture I'll describe below works or not. Any hints on that are appreciated.<br>
<br>
A zone is delegated to 3 name servers (unicast for simplicity); those 3 name servers operate independently of each other, each of them having an unique key for that same zone. All of them have all 3 DNSKEY responses for that zone, the DNSKEY records being the same among all of them.<br>
<br>
A DS record for each of the name servers key is inserted into parent, making all RRSIGs produced by any of the name servers valid, including the RRSIG for the DNSKEY records.<br>
<br>
it just happens that depending on name server an specific key will be used, since each one only has its own private key, although knowing the public keys of all 3.<br>
<br>
<br>
Does this break anything ? If it indeed breaks, is there an alternative ?<br>
<br>
<br>
<br>
Rubens<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
dns-operations mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div>