<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 29 Mar 2019 at 22:14, Michael StJohns <<a href="mailto:msj@nthpermutation.com">msj@nthpermutation.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF">
    <div class="gmail-m_-160142157622691969moz-cite-prefix">E.g. 2 key steady state starts with A, B gets added and is signed
      by A for a year.  Then C is added, and is signed by A (A signs the
      DNSKEY RRSET), then A is revoked and B signs the RRSet for another
      6 months to a year.  When its finally time for C to be the active
      key, its been signed by the other two keys for quite a long time.<br></div></div></blockquote><div><br></div><div>Given the operational experience we have with large response sizes, it seems like having three KSKs in the DNSKEY set (on top of one or more ZSKs, depending on the current status of a ZSK roll) plus RRSIGs from two different keys is probably not feasible.  </div></div></div>