<div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 5 Mar 2019 at 10:12, Anthony Eden <<a href="mailto:anthony.eden@dnsimple.com">anthony.eden@dnsimple.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>If so then having both provider's DS records and changing the delegation should work, but you probably want to leave the old DS record present longer before removing it. We are leaving old DS records a minimum of 48 hours (for example, when removing DNSSEC, and longer when we rotate keys, but that's more to give customers more time to add the DS where automation isn't possible).</div><div><br></div></div></blockquote><div><br></div><div><div>Are you sure that will work?</div><div><br></div><div>I would have thought during the cut over an attempt of validation of records provided by the new provider, by previously looked up and cached DNSKEY set would fail. I think the minimum for a (safe) cut over would be DS records from both providers and cross signed ZSKs. </div></div><div> </div></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr">Daniel Griggs<br>Systems Administrator<br>InternetNZ<br><br></div><div dir="ltr">Mobile: +64 27 448 8230<br>Email: <a href="mailto:daniel@internetnz.net.nz" target="_blank">daniel@internetnz.net.nz</a><br><br>For a better world through a better Internet</div></div></div></div></div></div>