<br>Thanks very much!<br><br><br><div class="gmail_quote">On Fri, Oct 21, 2011 at 9:10 PM, Peter Koch <span dir="ltr"><<a href="mailto:pk@denic.de">pk@denic.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">On Fri, Oct 21, 2011 at 09:47:37AM +0200, Matthijs Mekking wrote:<br>
<br>
> > RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing<br>
><br>
> No: NSD does not do signing.<br>
<br>
</div>it might be helpful to the initial poster to know that, even though<br>
RFC 4470 (with amendments in RFC 4471) is on IETF Standards Track,<br>
it is to be considered an optional part of the DNSSEC protocol suite.<br>
This was to address the zone enumeration problem back in the day when<br>
NSEC3 (now in RFC 5155) was not yet fully specified, let alone implemented.<br>
Both methods address the same problem from different angles and<br>
have their pros and cons. With NSEC3 in use with various TLDs,<br>
tools and validators today can be expected to understand this<br>
extension (and NSD implements RFC 5155 on the authoritative server<br>
side).<br>
<br>
If the list of RFCs originated from a 3rd party checklist, I'd be<br>
interested in learning about the background.<br>
<font color="#888888"><br>
-Peter<br>
</font></blockquote></div><br><br clear="all"><br>-- <br>Regards,<br>Robert Davidson.<br><br>