Så här står det i RFC 7344 (1), stycke 4.1 (sidan 9) om kravet på CDS och CDNSKEY (”CDS and CDNSKEY Processing Rules”):

...

...

o Signer: MUST be signed with a key that is represented in both the current DNSKEY and DS RRsets, unless the Parent uses the CDS or CDNSKEY RRset for initial enrollment; in that case, the Parent validates the CDS/CDNSKEY through some other means (see Section 6.1<https://datatracker.ietf.org/doc/html/rfc7344#section-6.1> and the Security Considerations). (…)

If any these conditions fail, the CDS or CDNSKEY resource record MUST be ignored, and this error SHOULD be logged. <<< Hur tolkar du texten Jag vet inte hur man får till det i OpenDNSSEC. Kan du tillverka DS RRset och signera den utanför och sedan skjuta in den? För jogback.se så är det enklare för den har en CSK, d.v.s. en gemensam nyckel för zonsignering och signering av DNSKEY RRset, och därmed källa för DS och CDS. Är det OK för dig att gå över till CSK? Ev. bara temporärt tills du har fått in rätt DS. Jag vet inte hur stor zonen är. Om det bara finns 257-nycklar så borde OpenDNSSEC signera med dessa, ev. med båda. Mats --- Mats Dufberg mats.dufberg@internetstiftelsen.se<mailto:mats.dufberg@internetstiftelsen.se> Technical Expert Internetstiftelsen (The Swedish Internet Foundation) Mobile: +46 73 065 3899 https://internetstiftelsen.se/ From: Ns.se <ns.se-bounces@lists.iis.se> on behalf of Torbjörn Eklöv via Ns.se <ns.se@lists.iis.se> Date: Wednesday, 25 May 2022 at 19:28 To: LM Jogbäck <lm@jogback.se> Cc: ns.se@lists.iis.se <ns.se@lists.iis.se> Subject: Re: [Ns.se] Konstigt(?) felmeddelande ifrån https://cds.registry.se Då öppnar jag tråden igen då..... 🙂 Jag kör apgammal OpenDNSSEC där jag har en CDS enligt det här mstab.se. 900 IN CDS 0 0 0 ( 00 ) mstab.se. 900 IN RRSIG CDS 5 2 900 ( 20220703080634 20220524085234 24267 mstab.se. BHoQvkNU961zVEOF6pSzpiCF3whb5cPQX3AFFHTenPZO MmP9WY51Eq8W4JgNI/4x0CiXQ8ux0YDNeREMq3BUfJCO a4+ZMOtQ6wgj8BPPce1ibXgwLtwDdIQqb7mw/RKYpiGe hP6du889K//yUY4yQ5NNOpoZ0NvDJh/A2koXuN/gLLsF e4boAygdG+LK5ylZH8Sm7mzwJaWYGOS2gAocECrfFA== ) Enligt stiftelsen så måste CDS var direkt signerat av KSK'n och inte KSK->ZSK för att det ska fungera. Det kan jag hålla med om även om jag inte tycker att RFC'n säger så men det ska vi INTE diskutera här.... Om jag ska signera ett RR med min KSK i OpenDNSSEC - hur 17 ska jag göra det? jogback.se signeras med KSK så det stämmer tyvärr.... 🙁 /Torbjörn Eklöv Interlan Gefle AB mobil: 070 - 683 51 75 http://test-ipv6.se A home without IPv6 is just a house (…)