<div><br></div><div class="protonmail_signature_block protonmail_signature_block-empty"><div class="protonmail_signature_block-user protonmail_signature_block-empty"><br></div><div class="protonmail_signature_block-proton protonmail_signature_block-empty"><br></div></div><div><br></div><blockquote type="cite" class="protonmail_quote"><div>-------- Original Message --------<br></div><div>Subject: [dns-operations] Multiple DS DNSSEC validation<br></div><div>Local Time: July 11, 2017 6:08 AM<br></div><div>UTC Time: July 11, 2017 3:08 AM<br></div><div>From: rubensk@nic.br<br></div><div>To: dns-operations <dns-operations@dns-oarc.net><br></div><div><br></div><div><br></div><div>My reading of DNSSEC RFCs couldn"t negate or confirm whether the DNSSEC architecture I"ll describe below works or not. Any hints on that are appreciated.<br></div><div><br></div><div>A zone is delegated to 3 name servers (unicast for simplicity); those 3 name servers operate independently of each other, each of them having an unique key for that same zone. All of them have all 3 DNSKEY responses for that zone, the DNSKEY records being the same among all of them. <br></div><div><br></div><div>A DS record for each of the name servers key is inserted into parent, making all RRSIGs produced by any of the name servers valid, including the RRSIG for the DNSKEY records. <br></div><div><br></div><div>it just happens that depending on name server an specific key will be used, since each one only has its own private key, although knowing the public keys of all 3. <br></div><div><br></div><div><br></div><div>Does this break anything ? If it indeed breaks, is there an alternative ?<br></div><div><br></div></blockquote><div><br></div><div>As others mentioned this should work. One thing to pay attention to is all keys share the same algorithm. Otherwise the DNSKEY should be signed with a key of each algorithm.<br></div><div><br></div><div>Emil<br></div><div><br></div><blockquote type="cite" class="protonmail_quote"><div><br></div><div>Rubens<br></div><div><br></div><div><br></div><div><br></div><div><br></div><div>_______________________________________________<br></div><div>dns-operations mailing list<br></div><div>dns-operations@lists.dns-oarc.net<br></div><div>https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br></div><div>dns-operations mailing list<br></div><div>https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br></div></blockquote><div><br></div>