<div dir="ltr">On Fri, Aug 7, 2015 at 1:02 PM, Jim Popovitch <span dir="ltr"><<a href="mailto:jimpop@gmail.com" target="_blank">jimpop@gmail.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Looking for best practice advice on whether or not an authoritative NS<br>
should publish DS RRs.</blockquote><div><br></div><div>The zone authoritative for DS records is the parent zone (RFC 4033, section 2, "Authoritative RRset").  So, if you want a secure link between parent and child, then you publish the DS records in the parent.  But you never publish them in the child; it would be considered out-of-zone data.<br><br></div><div>Cheers,<br></div><div>Casey<br></div></div></div></div>