
<html>

  <head>


    <meta http-equiv="content-type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <p>Hi,</p>

    <p>Just joined the list and I've searched back 12 month and see no

      similar topic.</p>

    <p>I've been DNSSEC Signing my domains for several years - probably

      as I was teaching others how to do that.<br>

      This includes my Reverse DNS too.<br>

      I am in the AFRINIC Region.<br>

      I have some Legacy IPv4 address space - originally from ARIN.<br>

      192.96.24.0 - 192.96.24.31 (and others)<br>

    </p>

    <p>About six months ago - I started the process of changing

      everything from Algorithm 8 (RSA/SHA-256) to Algorithm 13 (ECDSA

      Curve P-256 with SHA-256). From my point of view, everything has

      been working completely automatically - except for the Reverse DNS

      - where I have to go to "my.afrinic.net" and manually update DS

      Records (there is no automation for this at AFRINIC).</p>

    <p>Please look at 24.96.192.in-addr.arpa. and

      25.96.192.in-addr.arpa.<br>

      24 is no longer signed (because of this problem), 25 is signed

      (algo 13)<br>

    </p>

    <p>The Parent for the legacy block 24.96.192.in-addr.arpa is

      192.in-addr.arpa - who's nameservers include z.arin.net.</p>

    <p>In that zone file - there is a DS record for

      25.96.192.in-addr.arpa:-</p>

    <p>25.96.192.in-addr.arpa.    86289    IN    DS    36223 13 2

      5DA9B9AC1C9D9C72434BEC68E9C5CF36A10FA480E6551CC9F2538745 4932E14E<br>

      (This is the correct DS record - you can ask for the CDS for this

      from control.vweb.co.za)<br>

    </p>

    <p>...but asking a DNSSEC aware recursive resolver

      gives....SERVFAIL.</p>

    <p> dig @1.1.1.1 25.96.192.in-addr.arpa ns<br>

      <br>

      ; <<>> DiG 9.14.8 <<>> @1.1.1.1

      25.96.192.in-addr.arpa ns<br>

      ; (1 server found)<br>

      ;; global options: +cmd<br>

      ;; Got answer:<br>

      ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id:

      39329<br>

      ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL:

      1<br>

      ...</p>

    <p>This worked perfectly with Algorithm 8, before I moved to

      Algorithm 13.</p>

    <p><b>When will the DNS system at ARIN support Algorithm 13?</b></p>

    <p>My IPv6 Reverse DNS signed with DNSSEC works perfectly with

      Algorithm 13.<br>

    </p>

    <p>$ dig -x  2001:42a0::1 @1.1.1.1 +dnssec +multiline<br>

      ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0,

      ADDITIONAL: 1<br>

1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.a.2.4.1.0.0.2.ip6.arpa.

      7200 IN PTR control.vweb.co.za.<br>

1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.a.2.4.1.0.0.2.ip6.arpa.

      7200 IN RRSIG    PTR 13 34 7200 (...<br>

    </p>

    <p><br>

    </p>

    <div class="moz-signature">-- <br>

      <meta http-equiv="content-type" content="text/html; charset=UTF-8">

      <title></title>

      <p>Mark James ELKINS  -  Posix Systems - (South) Africa<br>

        <a class="moz-txt-link-abbreviated" href="mailto:mje@posix.co.za">mje@posix.co.za</a>       Tel: <a href="tel:+27826010496">+27.826010496</a><br>

        For fast, reliable, low cost Internet in ZA: <a

          href="https://ftth.posix.co.za">https://ftth.posix.co.za</a><br>

        <br>

        <img moz-do-not-send="false"

          src="cid:part3.A3FD6205.A3F80F95@posix.co.za" alt="Posix

          Systems" width="250" height="165"><img moz-do-not-send="false"

          src="cid:part4.1531297A.6234CFCA@posix.co.za" alt="VCARD for

          MJ Elkins" title="VCARD, Scan me please!" width="164"

          height="164"><br>

      </p>

    </div>

  </body>

</html>