domain-name-system – 我是否需要续订我存放在域名提供商处的密钥?

前端之家收集整理的这篇文章主要介绍了domain-name-system – 我是否需要续订我存放在域名提供商处的密钥?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我已经用dnssec建立了一些域名.我生成了密钥并使用dnssec-tools中的zonesigner对区域进行了签名.我知道我必须在30天内辞职.但是我存放在我的域名提供商处的密钥是怎么回事?我是否还需要更新钥匙?如果有,怎么样?在网站上找不到任何相关信息.

解决方法

您无需续订密钥.与RRSIG记录不同,DNSSEC密钥和相应的DS签名没有到期日期.

KSK(密钥签名密钥):

您可以选择不时地旋转密钥,这样做的原因可能是您的密钥可能被盗而您不知道.如果您的KSK保持离线状态,因此不太可能受到损害,则无需旋转KSK.

ZSK(区域签名密钥):

要轮换那些您不需要域名提供者的内容,因此旋转起来要容易得多.虽然如果ZSK也足够安全,那么也不需要旋转它们.

以下RFC是各种DNSSEC相关建议的来源:

RFC 4641 – DNSSEC Operational Practices,Version 2

…. a reasonable effectivity period for KSKs that have corresponding
DS records in the parent zone is of the order of 2 decades or longer. That is,if one does not plan to test the rollover procedure,the key should be effective essentially forever,and only rolled over in case of emergency.

猜你在找的HTML相关文章