<br><br>On Friday, August 7, 2015, Casey Deccio <<a href="mailto:casey@deccio.net">casey@deccio.net</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">On Fri, Aug 7, 2015 at 1:02 PM, Jim Popovitch <span dir="ltr"><<a href="javascript:_e(%7B%7D,'cvml','jimpop@gmail.com');" target="_blank">jimpop@gmail.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Looking for best practice advice on whether or not an authoritative NS<br>
should publish DS RRs.</blockquote><div><br></div><div>The zone authoritative for DS records is the parent zone (RFC 4033, section 2, "Authoritative RRset").  So, if you want a secure link between parent and child, then you publish the DS records in the parent.  But you never publish them in the child; it would be considered out-of-zone data.</div></div></div></div></blockquote><div><br></div><div><br></div><div>Although you can publish a CDS record ( <a href="https://tools.ietf.org/html/rfc7344">https://tools.ietf.org/html/rfc7344</a> ) in the child. This is intended to allow the parent to scrape the child to allow easier/ more automated key rollover.</div><div><br></div><div>It won't actually accomplish anything yet, but, well...</div><div><br></div><div>W<span></span></div><div></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Cheers,<br></div><div>Casey<br></div></div></div></div>
</blockquote><br><br>-- <br>I don't think the execution is relevant when it was obviously a bad idea in the first place.<br>This is like putting rabid weasels in your pants, and later expressing regret at having chosen those particular rabid weasels and that pair of pants.<br>   ---maf<br>