<div dir="ltr">Hi Daniel,<div><br></div><div>From my understanding of KASP implementation, a double signature signing during the KSK rollover should have you covered. </div><div>You can have the existing and the new KSK at the same time and remove the old one once it has expired. </div><div>By implication, the chain of trust should still hold for your applications. </div><div><br></div><div>How much time now depends on what you have set on your policy.  </div><div><br><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Regards,<br>David</div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 26 Jun 2023 at 17:22, daniel majela <<a href="mailto:dmajela@gmail.com">dmajela@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hey guys....<br><br>I'm testing KASP...bind9 9.16.23<br>I created a policy like this...<br>dnssec-policy "my-policy" {<br>     dnskey-ttl 3600;<br>     keys {<br>         ksk lifetime P1Y algorithm ecdsap256sha256;<br>         zsk lifetime 60d algorithm ecdsap256sha256;<br>     };<br>     nsec3param iterations 0 opt at salt-length 8;<div><br>The KSK and ZSK key generation were created correctly and I kept the "inline-signing yes" line.<br>My doubt is the following.<br>Every 2 months the ZSK replaces the keys automatically and I shouldn't have any problems correct?<br>Every 1 year the KSK key will be replaced and I will have to observe the new HASH value and configure it in mine (<a href="http://registro.br" target="_blank">registro.br</a>). My doubt is whether my applications within the zone that generated a new ksk key will be outside? How much time do I have to replace the hash value in (<a href="http://registro.br" target="_blank">registro.br</a>)? I couldn't understand that.... there are many zones that I have and how to manage that "tomorrow" a KSK will expire.<br>Thanks.<br clear="all"><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Daniel Majela Galvão<br><a href="http://br.linkedin.com/pub/daniel-souza/6/1b1/774" title="Visualizar perfil público" name="m_3343387407828281881_SignatureSanitizer_SafeHtmlFilter_UNIQUE_ID_SafeHtmlFilter_webProfileURL" target="_blank">http://br.linkedin.com/pub/daniel-souza/6/1b1/774</a><br><br>(55-012) - 9-8201-9885<br>(55-012) - 9-9761-1511<br>(55-012) - 32076909<br></div></div></div></div></div>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div>