我已经用dnssec建立了一些域名.我生成了密钥并使用dnssec-tools中的zonesigner对区域进行了签名.我知道我必须在30天内辞职.但是我存放在我的域名提供商处的密钥是怎么回事?我是否还需要更新钥匙?如果有,怎么样?在网站上找不到任何相关信息.
解决方法
您无需续订密钥.与RRSIG记录不同,DNSSEC密钥和相应的DS签名没有到期日期.
KSK(密钥签名密钥):
您可以选择不时地旋转密钥,这样做的原因可能是您的密钥可能被盗而您不知道.如果您的KSK保持离线状态,因此不太可能受到损害,则无需旋转KSK.
ZSK(区域签名密钥):
要轮换那些您不需要域名提供者的内容,因此旋转起来要容易得多.虽然如果ZSK也足够安全,那么也不需要旋转它们.
以下RFC是各种DNSSEC相关建议的来源:
RFC 4641 – DNSSEC Operational Practices,Version 2
…. a reasonable effectivity period for KSKs that have corresponding
DS records in the parent zone is of the order of 2 decades or longer. That is,if one does not plan to test the rollover procedure,the key should be effective essentially forever,and only rolled over in case of emergency.
