<div dir="ltr">Hello,<div><br></div><div>ldns-verify-zone is one of the tools I use to verify freshly signed zonefiles. Since my "signer" machine does not have access to the real world I provide ldns-verify-zone with the signed zonefile and DS record like this:<br></div><div><br></div><div>ldns-verify-zone -S -k Ktest.org.+008+57589.ds test.zone.signed<br></div><div><br></div><div>When the zonefile is signed with a single ZSK and single KSK there are no complaints.</div><div>When the zonefile is signed with single ZSK and two KSKs (as during KSK rollover, both KSKs are added to the zone and the DNSKEY RRset is signed by both KSKs), the above command fails with:</div><div><br></div><div><div># ldns-verify-zone -S -k Ktest.org.+008+57589.ds test.zone.signed</div><div>Error: No keys with the keytag and algorithm from the RRSIG found for <a href="http://test.org">test.org</a>. DNSKEY</div><div>There were errors in the zone</div></div><div><br></div><div>Just for testing I tried to provide the DSes for both KSKs and no errors were emitted.</div><div><div># ldns-verify-zone -k Ktest.org.+008+57589.ds -k Ktest.org.+008+34735.ds test.zone.signed</div><div>Zone is verified and complete</div></div><div><br></div><div>That's never real world scenario since there is only single DS in the parent zone during a KSK rollover, first it's the DS generated for the initial key, then it's replaced with the DS for the successor key.</div><div><br></div><div>The issue is easy to reproduce, generate 3 keys, 1 ZSK and 2 KSK, sign the zone with one ZSK and both KSK, then run ldns-verify-zone with a single DS file.</div><div>The same happens with and without the "-S" flag.</div><div><br></div><div>Emil</div></div>