<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p><br>

    </p>

    <div class="moz-cite-prefix">On 2019/12/02 12:16, Michael Grimm

      wrote:<br>

    </div>

    <blockquote type="cite"

      cite="mid:E837B0DF-7AC5-405A-97BA-6EA5BC98D889@ellael.org">

      <pre class="moz-quote-pre" wrap="">Hi

Viktor Dukhovni <a class="moz-txt-link-rfc2396E" href="mailto:ietf-dane@dukhovni.org"><ietf-dane@dukhovni.org></a> wrote:

</pre>

      <blockquote type="cite">

        <pre class="moz-quote-pre" wrap="">         Also adoption of ECDSA P-256 (algorithm 13) continues to grow,

         and the number of domains using P-256 KSKs has almost reached

         parity with RSA-SHA256 (algorithm 8), which is just ahead for

         now, but likely not for very much longer.

</pre>

      </blockquote>

    </blockquote>

    I run a small ISP in South Africa - with about 2000 domains. About

    200 of these are DNSSEC signed. I'm in the process of migrating them

    from algo 8 to algo 13. Its all scripted and the conversions are all

    happening automatically. <b>The KSK-ZSK chain has to be complete</b><b>

      through with at least one common Algorithm.</b> I also don't want

    to re-sign everything at the same time - so everything is spread out

    over a year. I keep KSK's for a year and ZSK's for a month.<br>

    ZSK's are dealt with totally internally where as a KSK rollover

    means talking to the Parent zone and changing DS records - so I'm

    timing everything with my KSK's.<br>

    <br>

    <p>When a KSK is due to roll, create both a Algo-13 KSK and ZSK. 

      iUpload the appropriate DS. Once the new DS record is "seen" (and

      give it another day) - then delete the old DS, KSK and ZSK.</p>

    <p>The KSK and ZSK signatures are much shorter - so you are less

      lightly to be used as a DDOS source for a DNS Denial of service

      attack (the amplification is way lower).</p>

    <p><b>You don't need to increase the Key Size. </b><br>

    </p>

    <blockquote type="cite"

      cite="mid:E837B0DF-7AC5-405A-97BA-6EA5BC98D889@ellael.org">

      <pre class="moz-quote-pre" wrap="">

My KSK and ZSK are both of algorithm 8 and 2048 bits in size.

Is it correct to assume that -due to the growing adoption of algorithm 13- that this algorithm should be preferred? 

If so, I would like to migrate. 

But, I do have some questions to the community beforehand:

#) Can one mix KSK and ZSK algorithms? 

   (I do have a rollover of my ZSKs due in a couple of days. Thus starting with ZSKs would be convenient.)

#) Would it be wise to increase from 2048 to 4096 bits size?

Thanks in advance and with kind regards,

Michael

</pre>

    </blockquote>

    <div class="moz-signature">-- <br>

      <meta http-equiv="content-type" content="text/html; charset=UTF-8">

      <title></title>

      <p>Mark James ELKINS  -  Posix Systems - (South) Africa<br>

        <a class="moz-txt-link-abbreviated" href="mailto:mje@posix.co.za">mje@posix.co.za</a>       Tel: <a href="tel:+27826010496">+27.826010496</a><br>

        For fast, reliable, low cost Internet in ZA: <a

          href="https://ftth.posix.co.za">https://ftth.posix.co.za</a><br>

        <br>

        <img moz-do-not-send="false"

          src="cid:part3.A5AB5BA0.75AB2BE4@posix.co.za" alt="Posix

          Systems" width="250" height="165"><img moz-do-not-send="false"

          src="cid:part4.17D053C2.57F781E2@posix.co.za" alt="VCARD for

          MJ Elkins" title="VCARD, Scan me please!" width="164"

          height="164"><br>

      </p>

    </div>

  </body>

</html>