<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div dir="ltr"></div><div dir="ltr"><div>On 27 Apr 2024, at 03:37, Warren Kumari <warren@kumari.net> wrote:<br></div><div><br></div></div><blockquote type="cite"><div dir="ltr"><div><div><div class="gmail_extra"><div class="gmail_quote"><blockquote style="margin:0 0 0.8ex;border-left:1px #ccc solid;padding-left:1ex" class="gmail_quote"><div class=""><div class="gmail_quote"><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><div class="">For the record, the last time a ccTLD published a revoked SEP key was <span class="sh-date">April 9, 2019</span> (this was not the revocation of the root zone KSK but a TLD's KSK), so I know that none of the TLDs have completed an Automated Updates roll since then.<br></div></blockquote></div></div></blockquote></div></div><div><div><br></div><div>I don't really understand under what conditions I'd want to have a trust-anchor for any (public) zone.</div></div></div></div></div></blockquote><div><br></div><div>Every zone administrator has the problem of key distribution if relying parties who want to validate signatures exist (if it can be established that none exist, why sign your zone). There are multiple approaches that can be used, of which publishing key material in your parent zone is just one. Just because we might think that's the right method for most people and most zones doesn't mean it's the only method.</div><div><br></div><div>Different zones and different zone administrators can reasonably make different assessments of risk when it comes to trust anchor distribution. There is nothing to stop a particular zone administrator making the local assessment that they don't like the practices associated with their parent zone, or their parent's parent, for example, especially if their concerns are concentrated around validation by a known set of relying parties. Zones exist which are not discoverable by referral responses (you have to know where the auth servers are), which means secure referrals are not available, and such zones want to offer validation they need other methods for key distribution.</div><div><br></div><div>It's a big Internet. There is a lot of surprising stuff in it. I find it's usually a mistake to imagine that anybody knows how all of it works just because they know how some of it works. Thinking the opposite and turning over rocks can reveal some interesting things.</div><div><br></div><div><br></div><div>Joe</div></body></html>