]> CyberLeo.Net >> Repos - FreeBSD/releng/8.1.git/blob - contrib/bind9/KNOWN-DEFECTS
projects / FreeBSD / releng / 8.1.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Copy stable/8 to releng/8.1 in preparation for 8.1-RC1.
[FreeBSD/releng/8.1.git] / contrib / bind9 / KNOWN-DEFECTS
1 dnssec-signzone was designed so that it could sign a zone partially, using
2 only a subset of the DNSSEC keys needed to produce a fully-signed zone.
3 This permits a zone administrator, for example, to sign a zone with one
4 key on one machine, move the resulting partially-signed zone to a second
5 machine, and sign it again with a second key.
6
7 An unfortunate side-effect of this flexibility is that dnssec-signzone
8 does not check to make sure it's signing a zone with any valid keys at
9 all.  An attempt to sign a zone without any keys will appear to succeed,
10 producing a "signed" zone with no signatures.  There is no warning issued
11 when a zone is not signed.
12
13 This will be corrected in a future release.  In the meantime, ISC
14 recommends examining the output of dnssec-signzone to confirm that
15 the zone is properly signed by all keys before using it.
8.1-RELEASE