<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div><blockquote type="cite" class=""><div class=""><div class="WordSection1" style="page: WordSection1; font-family: Helvetica; font-size: 10px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><div style="margin: 0cm 0cm 0.0001pt; font-size: 10.5pt; font-family: Calibri, sans-serif;" class=""><span lang="EN-US" class="">Shane mentioned the IANA KSK roll status:<o:p class=""></o:p></span></div><div style="margin: 0cm 0cm 0.0001pt; font-size: 10.5pt; font-family: Calibri, sans-serif;" class=""><span lang="EN-US" class=""><o:p class=""> </o:p></span></div><div style="margin: 0cm 0cm 0.0001pt; font-size: 10.5pt; font-family: Calibri, sans-serif;" class=""><span lang="EN-US" class=""><a href="http://yeti-dns.org/resource/2016-03-24/2016-03-24-icann-ksk-roll.pdf" style="color: purple; text-decoration: underline;" class="">http://yeti-dns.org/resource/2016-03-24/2016-03-24-icann-ksk-roll.pdf</a></span></div></div></div></blockquote><div><br class=""></div><div>Um.  From that presentation:</div><div><br class=""></div><div>"Root KSK DPS: roll every 5 years
– Signed 2010-07-15 (> 5.5 years ago... oops!)"</div><div><br class=""></div><div>The actual ICANN KSK DPS policy statement (the first sentence of section 6.5 of <a href="https://www.iana.org/dnssec/icann-dps.txt" class="">https://www.iana.org/dnssec/icann-dps.txt</a>) says:</div><div><br class=""></div><div>"Each RZ KSK will be scheduled to be rolled over through a key ceremony as required, or <b class="">after 5 years</b> of operation."</div><div><br class=""></div><div>(emphasis added). It does NOT say "roll every 5 years".</div><div><br class=""></div><div>We're in the process of developing the necessary plans and processes to attempt to safely and responsibly roll the KSK _after_ 5 years as the DPS requires.  As every validating resolver on the planet will need to update their trust anchor in response to this roll, you can probably imagine that this is a non-trivial exercise when you're talking about not disrupting the production Internet (or at least 25% or so of that Internet that is currently validating responses) upon which trillions of dollars of GDP depend.</div><div><br class=""></div><div>We anticipate providing more details on the plans for the KSK roll in the near future.</div><div><br class=""></div><div>Regards,</div><div>-drc</div><div>(ICANN CTO)</div><div><br class=""></div></div></body></html>