<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, 30 Mar 2019 at 11:42, Paul Wouters <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
> On Mar 30, 2019, at 11:03, Matthew Pounsett <<a href="mailto:matt@conundrum.com" target="_blank">matt@conundrum.com</a>> wrote:<br>
> <br>
> Given the operational experience we have with large response sizes, it seems like having three KSKs in the DNSKEY set (on top of one or more ZSKs, depending on the current status of a ZSK roll) plus RRSIGs from two different keys is probably not feasible.<br>
<br>
What negative operational experience with large dnskey sets are you talking about? I’ve seen 12 in TLDs without any noticeable impact.<br></blockquote><div><br></div><div>Perhaps I've misunderstood, but I was under the impression Geoff has significant evidence of issues when DNS messages are large enough to fragment in IPv6.  Five RRs in a DNSKEY set plus two RRSIGs seems to me to be fairly likely to result in fragmentation.</div></div></div>