<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=gb2312"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:宋体;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"\@宋体";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        text-align:justify;
        text-justify:inter-ideograph;
        font-size:10.5pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"批注框文本 Char";
        margin:0cm;
        margin-bottom:.0001pt;
        text-align:justify;
        text-justify:inter-ideograph;
        font-size:9.0pt;
        font-family:"Calibri","sans-serif";}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.Char
        {mso-style-name:"批注框文本 Char";
        mso-style-priority:99;
        mso-style-link:批注框文本;
        font-family:"Calibri","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 90.0pt 72.0pt 90.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=ZH-CN link=blue vlink=purple style='text-justify-trim:punctuation'><div class=WordSection1><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>There may be some issues when pre-publish the new keys without the new signature, I think.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Davey<o:p></o:p></span></p><p class=MsoNormal><a name="_MailEndCompose"><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></a></p><div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal align=left style='text-align:left'><b><span style='font-size:10.0pt;font-family:宋体'>发件人<span lang=EN-US>:</span></span></b><span lang=EN-US style='font-size:10.0pt;font-family:宋体'> Davey Song(</span><span style='font-size:10.0pt;font-family:宋体'>宋林健<span lang=EN-US>) [mailto:ljsong@biigroup.cn] <br></span><b>发送时间<span lang=EN-US>:</span></b><span lang=EN-US> 2018</span>年<span lang=EN-US>12</span>月<span lang=EN-US>26</span>日<span lang=EN-US> 16:02<br></span><b>收件人<span lang=EN-US>:</span></b><span lang=EN-US> 'Davey Song(</span>宋林健<span lang=EN-US>)'; discuss@lists.yeti-dns.org<br></span><b>主题<span lang=EN-US>:</span></b><span lang=EN-US> </span>答复<span lang=EN-US>: [Yeti DNS Discuss] Call for comment: Experiment proposal for Yeti Algorithm Rollover<o:p></o:p></span></span></p></div></div><p class=MsoNormal align=left style='text-align:left'><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>In case people hate links in the mail, I post the methodology of our approach  which explains why we choose the approach.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'># Methodology<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Different from the conservative approach proposed in section 4.1.4.2 of RFC6781, Yeti Algorithm Rollover is similar with the prior Yeti KSK rollover, **adopting a liberal approach and only rolling KSK with Double-DS rollover**. It is explained why we choose this approach as follows:<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>* The reasons of choosing liberal approach are twofold: 1) Algorithm rollover in .SE shows that conservative algorithm rollover is not necessary (only 6 out of 10000 failed). 2)Yeti algorithm rollover is deliberately design to expose more possible failures.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>* The reasons of only rolling KSK is that some people suggested that some resolver may not tolerate a KSK and a ZSK using different algorithms in the same zone (notably PowerDNS). We need to investigate this with more details.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>* The reason of choosing Double-DS KSK rollover method lies in that 1) it is our prior Yeti KSK rollover approach and, 2) our deliberate violation of saying in section 4.1.4 of RFC6781. We think it does not apply in Algorithm rollover for root because Root has no parents.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>>"Note that the Double-DS KSK rollover method cannot be used, since<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>   that would introduce a parental DS of which the apex DNSKEY RRset has<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>   not been signed with the introduced algorithm."--section 4.1.4 of RFC6781 <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Davey<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal align=left style='text-align:left'><b><span style='font-size:10.0pt;font-family:宋体'>发件人<span lang=EN-US>:</span></span></b><span lang=EN-US style='font-size:10.0pt;font-family:宋体'> discuss [<a href="mailto:discuss-bounces@lists.yeti-dns.org">mailto:discuss-bounces@lists.yeti-dns.org</a>] </span><b><span style='font-size:10.0pt;font-family:宋体'>代表 </span></b><span lang=EN-US style='font-size:10.0pt;font-family:宋体'>Davey Song(</span><span style='font-size:10.0pt;font-family:宋体'>宋林健<span lang=EN-US>)<br></span><b>发送时间<span lang=EN-US>:</span></b><span lang=EN-US> 2018</span>年<span lang=EN-US>12</span>月<span lang=EN-US>26</span>日<span lang=EN-US> 15:35<br></span><b>收件人<span lang=EN-US>:</span></b><span lang=EN-US> <a href="mailto:discuss@lists.yeti-dns.org">discuss@lists.yeti-dns.org</a><br></span><b>主题<span lang=EN-US>:</span></b><span lang=EN-US> [Yeti DNS Discuss] Call for comment: Experiment proposal for Yeti Algorithm Rollover<o:p></o:p></span></span></p></div></div><p class=MsoNormal align=left style='text-align:left'><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Hi colleagues, <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>After some investigation of Algorithm rollover, and existing practice in cctld (.se and .br). I proposed an algorithm rollover experiment plan for Yeti.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><a href="https://github.com/BII-Lab/Yeti-Project/blob/master/doc/Experiment-AlgRoll.md">https://github.com/BII-Lab/Yeti-Project/blob/master/doc/Experiment-AlgRoll.md</a> <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>In short, the first Yeti algorithm roll will follow the exact steps and timeline to the prior yeti ksk roll. The only difference is the new key will use ECDSA p-256. I explain why I choose this approach in github document. I also would like to hear from you for comments and suggestions.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>If no major changes on this draft proposal, I will test it in BII lab first, then I will proposed it to be tested in Yeti testbed in 2019.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Best regards,<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>Davey<o:p></o:p></span></p></div></div></div></body></html>