<div dir="ltr"><div dir="ltr">On Tue, Dec 17, 2024 at 4:03 PM Peter Thomassen <<a href="mailto:peter@desec.io">peter@desec.io</a>> wrote:</div><div class="gmail_quote gmail_quote_container"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Shumon,<br>
<br>
On 12/17/24 21:51, Shumon Huque wrote:<br>
> We probably need to know some more details about what exactly is changing.<br>
> Do we have any contacts at .FI that can provide them?<br>
<br>
According to a statement sent to their registrars, they are moving from algorithm 8 to 13.<br></blockquote><div><br></div><div>Thanks!</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
I agree a contact would be useful.<br>
<br>
> If they are also moving to a new provider/platform as part of the algorithm<br>
> change, then the situation may be more complicated. They'd need to do<br>
> an algorithm rollover and a multi-signer transition<br>
<br>
I don't think that is the case.<br>
<br>
It's true that changing the algorithm at the same time as a platform change might not be easy. However, if both platform and algorithm are changing, there's no need to change them at the same time.<br></blockquote><div><br></div><div>Agreed, that's why I was asking for more details! :)</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
When done separately, it seems one can first move to the new platform (if needed, using an additional RSA key). As both algorithms are MUST implement, the new platform is then expected to support both algorithm 8 and 13 for a subsequent algorithm rollover.<br></blockquote><div><br></div><div>Yup, but moving to the new platform using the same algorithm non-disruptively still requires some specific features to be supported (multi-signer ZSK import - I assume that's what you mean by "additional RSA key") and it's possible these features may be lacking in some platforms.</div><div><br></div><div>You could deploy a totally new keypair at the new party without cross sharing, but that introduces intermittent validation failures and possible complete failures for resolvers that don't robustly retry queries.<br></div></div><div class="gmail_quote gmail_quote_container"><br></div><div class="gmail_quote gmail_quote_container">Shumon</div><div class="gmail_quote gmail_quote_container"><br></div></div>