<div dir="ltr"><div dir="ltr">On Tue, Jan 19, 2021 at 8:44 AM Viktor Dukhovni <<a href="mailto:ietf-dane@dukhovni.org">ietf-dane@dukhovni.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
Sorry for leaving this vague.  Changing the salt requires rebuilding the<br>
entire NSEC3 chain, and so is difficult to combine with incremental zone<br>
signing (such as BIND's "auto-dnssec maintain").  If you're doing<br>
periodic whole zone signing, which reconstructs the entire chain, you<br>
can change the salt at will each time the zone is signed from scratch.<br>
<br>
If, on the other hand, the zone is signed incrementally as individual<br>
records are modified, then there is not an opportunity to change the<br>
salt, which needs to be consistent across the entire chain.<br></blockquote><div><br></div>It should work with incremental signing too. I haven't actually tried it with</div><div class="gmail_quote">BIND's 'auto-dnssec maintain' - perhaps ISC folks can confirm. <br></div><div class="gmail_quote"><br></div><div class="gmail_quote">The way it should work is that you tell the BIND signing server that you're</div><div class="gmail_quote">updating the NSEC3 parameters (by dynamic update or issuing an 'rndc'</div><div class="gmail_quote">control command). It will then in the background rebuild a second complete</div><div class="gmail_quote">NSEC3 chain. While doing this, it will temporarily house the NSEC3PARAM</div><div class="gmail_quote">data in a private record (so that the auth servers don't instantly start using</div><div class="gmail_quote">that chain to construct negative responses), and will only make that visible</div><div class="gmail_quote">in the apex NSEC3PARAM record once the chain has been fully built. You</div><div class="gmail_quote">can then delete the old NSEC3PARAM.<br></div><div class="gmail_quote"><br></div><div class="gmail_quote">Shumon.</div><div class="gmail_quote"><br></div></div>