<div><div dir="auto">I haven’t been paying attention.  Is anything being signed by ksk2010 anymore?  If not, then revoking it should be the very definition of a non-event.  </div></div><div dir="auto"><br></div><div dir="auto">And you can’t “delay the revoking “ once you’ve published the revoked key.  Revocations take place immediately upon receipt.  You could delete the revocation from future publications, but I’d guess that if you wait more than 1ttl after first publication such deletion would have little effect on the overall system. </div><div dir="auto"><br></div><div dir="auto">Lastly, existing systems should currently be trusting both 2017 and 2010 - unless manually intervened - so why would systems show only 2017 trust?</div><div dir="auto"><br></div><div dir="auto">Mike</div><div><br><div class="gmail_quote"><div dir="ltr">On Sun, Jan 6, 2019 at 12:15 Chris Thompson <<a href="mailto:cet1@cam.ac.uk">cet1@cam.ac.uk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">With the revoking of KSK-2010 in the root DNSKEY RRset due in 5 days time,<br>
is no one at all nervous about possible consequences?<br>
<br>
A couple of more specific question:<br>
<br>
1. This has been asked before, but is anyone analysing the RFC 8145 data<br>
   to see how many servers are reporting that they only trust KSK-2017,<br>
   and are they in a position to track how this changes during the revoking<br>
   process? The graphs at <a href="http://root-trust-anchor-reports.research.icann.org/" rel="noreferrer" target="_blank">http://root-trust-anchor-reports.research.icann.org/</a><br>
   are described in terms of servers trusting only KSK-2010 vs. all others.<br>
<br>
2. In the unlikely event that publishing a revoked KSK-2010 causes significant<br>
   problems (e.g. the new high water mark for the size of a signed DNSKEY<br>
   response has been mentioned), do ICANN have a back-off strategy (e.g. to<br>
   delay the revoking)?<br>
<br>
-- <br>
Chris Thompson<br>
Email: <a href="mailto:cet1@cam.ac.uk" target="_blank">cet1@cam.ac.uk</a><br>
<br>
_______________________________________________<br>
ksk-rollover mailing list<br>
<a href="mailto:ksk-rollover@icann.org" target="_blank">ksk-rollover@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/ksk-rollover" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/listinfo/ksk-rollover</a><br>
</blockquote></div></div>