<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Hi Marc,<br class=""><div><br class=""></div><div>Sorry, jumping back to this (even though there have been a few follow on emails)</div><div><br class=""><blockquote type="cite" class=""><div class="">On Sep 21, 2018, at 11:12 AM, Marc Blanchet <<a href="mailto:marc.blanchet@viagenie.ca" class="">marc.blanchet@viagenie.ca</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">On 21 Sep 2018, at 11:05, Eric Osterweil wrote:</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><blockquote type="cite" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">I think the setting of this discussion is missing some key elements: the DNS Root KSK is a global root of trust.  The extent to which we build on that is the extent to which software will need for this key to be well known, knowable, and learnable.  As the frequency of its rollover increases, so too does the probability that software will have out of date keys (especially I the context of hyperlocal roots).  If you factor DANE in, that root has even more importance to end-user perception.  I think it needs to be a top priority to ensure that DNS Relying Party (RP) software knows how to maintain the current key, keep up with rollovers, and re-bootstrap when it loses the correct key (a failure mode that software absolutely will experience).  As of now, I don’t think we have more than a few nascent ideas about how to handle this.<br class=""></blockquote><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">right but:</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">- people are lazy: until there are real events (KSK rollover), they will not care or prepare. Therefore, we must have rollover enough frequent so people do act.</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""></div></blockquote><div><br class=""></div><div>I would argue that we can (and should) do some more (tooling, analysis, etc.) to give them the ability to keep not caring without having to turn DNSSEC off altogether because it gives them a bad day.  I strongly fear that those serious operators who opt to turn DNSSEC off will decide not to turn it back on again.  All of this is in the context of comments above that DNSSEC is being used for, and able to be extended, for a lot of security protections beyond just DNSSEC itself.</div><br class=""><blockquote type="cite" class=""><div class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">- there are mechanisms to help/automate rollover, such as RFC5011, which shall fit with most use cases.</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""></div></blockquote><div><br class=""></div><div>Happy to have a discussion about this (here or elsewhere), but I worry that the 5011 mechanism might need more evaluation against threat models, and subsequent enhancements.  As Ray brought up in a later comment on this, 5011 doesn't handle re-bootstrapping.</div><br class=""><blockquote type="cite" class=""><div class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">- for the use cases/reasons people not use RFC5011, then it is like any manual configuration management: you take the responsability to put whatever process in your org to handle that case, since you are aware that you are taking the manual route.</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""></div></blockquote><div><br class=""></div><div>I definitely don’t think that’s sufficient.  For real security concerns, I don’t think we can leave things at laissez faire.</div><div><br class=""></div><div>Eric</div><br class=""><blockquote type="cite" class=""><div class=""><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">my 2c</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">Marc.</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><blockquote type="cite" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><br class="">Just my 0.02,<br class=""><br class="">Eric<br class=""><br class=""><blockquote type="cite" class="">On Sep 18, 2018, at 9:39 AM, Mark Elkins <<a href="mailto:mje@posix.co.za" class="">mje@posix.co.za</a>> wrote:<br class=""><br class="">I agree with the sentiment that there should be a "regular" KSK Key<br class="">roll-over - probably once every five years (though I roll my KSK's once<br class="">a year).<br class=""><br class="">However, I would agree that it first makes sense for this roll-over to<br class="">complete first - along with some research to understand any mishaps.<br class=""><br class="">Regarding people reaching out to their own communities - anyone got an<br class="">outline of what such a communication would contain? In South Africa, up<br class="">to 50% of lookups are via DNSSEC aware recursive resolvers according to<br class=""><a href="https://stats.labs.apnic.net/dnssec" class="">https://stats.labs.apnic.net/dnssec</a> - so this would seem like a worth<br class="">while exercise.<br class=""><br class=""><br class=""><br class="">On 09/18/2018 02:46 PM, Lars-Johan Liman wrote:<br class=""><blockquote type="cite" class="">I agree too.<br class=""><br class="">I think we should set an "intense" schedule (twice per year? once per<br class="">year?) _beforehand_, to send the message that "there is no relief after<br class="">this, there is only more pain ahead ... unless you automate!" to the DNS<br class="">software community. There must be no way to hardcode the KSK in code.<br class="">This will continue to be this painful until that message is received and<br class="">understood.<br class=""><br class=""><span class="Apple-tab-span" style="white-space: pre;">        </span><span class="Apple-tab-span" style="white-space: pre;">  </span><span class="Apple-tab-span" style="white-space: pre;">  </span><span class="Apple-tab-span" style="white-space: pre;">  </span>Cheers,<br class=""><span class="Apple-tab-span" style="white-space: pre;">      </span><span class="Apple-tab-span" style="white-space: pre;">  </span><span class="Apple-tab-span" style="white-space: pre;">  </span><span class="Apple-tab-span" style="white-space: pre;">  </span><span class="Apple-converted-space"> </span> /Liman<br class=""><br class=""><br class=""><a href="mailto:kolkman@isoc.org" class="">kolkman@isoc.org</a>:<br class=""><blockquote type="cite" class="">I agree with Michael, albeit I would phrase it slightly differently:<br class="">Rolling the key regularly is a strategic choise and makes a keyroll an operational reality.<br class="">How regular (or how frequent) is a tactic. Whether That is yearly, no<br class="">monthly or once half a decade is a tactic that takes into account some<br class="">of our learnings.<br class="">I would really like to see that strategic position being explicit.<br class=""></blockquote><br class=""><blockquote type="cite" class="">Olaf.<br class="">----<br class="">Composed on mobile device, with clumsy thumbs and unpredictable autocorrect.<br class="">________________________________<br class="">From: ksk-rollover <<a href="mailto:ksk-rollover-bounces@icann.org" class="">ksk-rollover-bounces@icann.org</a>> on behalf of Michael StJohns <<a href="mailto:msj@nthpermutation.com" class="">msj@nthpermutation.com</a>><br class="">Sent: Tuesday, September 18, 2018 5:04:31 AM<br class="">To: Matt Larson<br class="">Cc: <a href="mailto:ksk-rollover@icann.org" class="">ksk-rollover@icann.org</a><br class="">Subject: Re: [ksk-rollover] ICANN board meeting result and the Current status of KSK-Rollover<br class="">On 9/17/2018 3:57 PM, Matt Larson wrote:<br class=""><blockquote type="cite" class="">The answer I've given when people ask this question is that we need to<br class="">get through the first rollover and analyze how it goes before we can<br class="">discuss subsequent rollovers. One can imagine that how the first<br class="">rollover goes could have a material effect on the timing of the next one.<br class=""></blockquote>This seems like a bad approach given how that we currently have interest<br class="">and opportunity in the roll-over that could catalyze planning for a<br class="">second roll.  This does not - and should not - need to be single<br class="">threaded.    AFAICT, you're going to know most everything you need to<br class="">know a few seconds to a few days after you stop signing the the old key.<br class="">So - I suggest you pick a date now.  Start planning for the next roll<br class="">now.  If your post analysis shows a problem - adapt and overcome and<br class="">adjust the dates if you need to.  It's hard to hit a target if you don't<br class="">put it on calendar.<br class="">Later, Mike<br class=""></blockquote><br class=""><blockquote type="cite" class="">_______________________________________________<br class="">ksk-rollover mailing list<br class=""><a href="mailto:ksk-rollover@icann.org" class="">ksk-rollover@icann.org</a><br class="">https://mm.icann.org/mailman/listinfo/ksk-rollover<br class="">_______________________________________________<br class="">ksk-rollover mailing list<br class="">ksk-rollover@icann.org<br class="">https://mm.icann.org/mailman/listinfo/ksk-rollover<br class=""></blockquote>_______________________________________________<br class="">ksk-rollover mailing list<br class=""><a href="mailto:ksk-rollover@icann.org" class="">ksk-rollover@icann.org</a><br class="">https://mm.icann.org/mailman/listinfo/ksk-rollover<br class=""></blockquote><br class="">--<span class="Apple-converted-space"> </span><br class="">Mark James ELKINS  -  Posix Systems - (South) Africa<br class=""><a href="mailto:mje@posix.co.za" class="">mje@posix.co.za</a>       Tel: +27.128070590  Cell: +27.826010496<br class="">For fast, reliable, low cost Internet in ZA: <a href="https://ftth.posix.co.za" class="">https://ftth.posix.co.za</a><br class=""><br class="">_______________________________________________<br class="">ksk-rollover mailing list<br class=""><a href="mailto:ksk-rollover@icann.org" class="">ksk-rollover@icann.org</a><br class="">https://mm.icann.org/mailman/listinfo/ksk-rollover<br class=""></blockquote></blockquote><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><blockquote type="cite" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">_______________________________________________<br class="">ksk-rollover mailing list<br class=""><a href="mailto:ksk-rollover@icann.org" class="">ksk-rollover@icann.org</a><br class=""><a href="https://mm.icann.org/mailman/listinfo/ksk-rollover" class="">https://mm.icann.org/mailman/listinfo/ksk-rollover</a></blockquote></div></blockquote></div><br class=""></body></html>