<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Mar 4, 2014 at 6:28 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Tue, 4 Mar 2014, Emil Natan wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
"ldns-read-zone -s" does not strip the DNSKEY RRs, although the manual states: <br>
"Strip DNSSEC data from the zone. This option skips every record that is of type NSEC, NSEC3, RRSIG or DNSKEY." Tried with multiple<br>
zones with the same result. All other DNSSEC specific records are omitted in the output.<br>
</blockquote>
<br></div>
That's a bug in the man page?<br>
<br>
DS and DNSKEY Resource Records is zone data. The point of the -s option<br>
is to take a signed zone, and get rid of the _signing_ records so it<br>
turns it into an unsigned zone. So DS and DNSKEY should not be stripped.<br>
<br>
I can see how someone might want to remove DNSKEY's, but than that<br>
should probably be a different option.<span class="HOEnZb"><font color="#888888"><br>
<br>
Paul<br>
</font></span></blockquote></div><br></div><div class="gmail_extra">Agree. Though it should be really nice to have that option because when using OpenDNSSEC or BIND's Smart signing the DNSKEY in not a part of the unsigned zone and that can be useful when comparing the signed and unsigned zones.</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">ena</div></div>