
<div dir="ltr">1) It's up to you, if your zones are small and keys are long, you can live without rotation longer. For example we rotate KSK every year and ZSK every 3 months with SHA256 and 10M records in zone. Also take a look at <a href="http://tools.ietf.org/html/rfc6781">http://tools.ietf.org/html/rfc6781</a> <br>

<br>2) Child zone doesn't need to be signed with the same key(s) as parent.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/10/31 staticsafe <span dir="ltr"><<a href="mailto:me@staticsafe.ca" target="_blank">me@staticsafe.ca</a>></span><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I have recently started signing all of my domains that I possibly can. I have a couple of questions.<br>

<br>

1) Are there any recommendations on how often keys should be rotated? Best practices to perform during the rotation process?<br>

<br>

2) I have a zone <a href="http://ircops.org" target="_blank">ircops.org</a> delegated to my own NSes, in it there is a sub-zone <a href="http://dnsbl.ircops.org" target="_blank">dnsbl.ircops.org</a> delegated to other nameservers. Does <a href="http://dnsbl.ircops.org" target="_blank">dnsbl.ircops.org</a> need to be signed with the same key(s) as <a href="http://ircops.org" target="_blank">ircops.org</a>?<br>


<br>

Thank you for your answers. References to reading materials are much appreciated.<span class="HOEnZb"><font color="#888888"><br>

<br>

-- <br>

staticsafe<br>

O< ascii ribbon campaign - stop html mail - <a href="http://www.asciiribbon.org" target="_blank">www.asciiribbon.org</a><br>

Please don't top post. It is not logical.<br>

Please don't CC me! I'm subscribed to whatever list I just posted on.<br>

______________________________<u></u>_________________<br>

dns-operations mailing list<br>

<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.<u></u>net</a><br>

<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" target="_blank">https://lists.dns-oarc.net/<u></u>mailman/listinfo/dns-<u></u>operations</a><br>

dns-jobs mailing list<br>

<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-jobs" target="_blank">https://lists.dns-oarc.net/<u></u>mailman/listinfo/dns-jobs</a><br>

</font></span></blockquote></div><br><br clear="all"><br>-- <br>Is there any problem Exterminatus cannot solve? I have not found one yet.<br><br>

</div>