我用dnssec设置了一些域。 我生成了密钥,并用dnssec-tools中的zonesigner标记了区域。 我知道我必须在30天内辞职。 但是,我存放在我的域名提供商的密钥是什么? 我是否需要更新密钥? 如果是的话,怎么样? 在网站上找不到关于此的任何信息。
您不需要更新密钥。 与RRSIGlogging不同,DNSSEC密钥和相应的DS签名没有到期date。
KSK (钥匙签名钥匙):
您可能会不时地select旋转按键,原因可能是您的钥匙可能被盗,而您不知道。 如果您的KSK保持离线状态,因此不太可能受到危害,因此不需要旋转KSK。
ZSK (区域签名密钥):
要旋转那些你不需要你的域名提供者,因此旋转起来要容易得多。 虽然如果ZSK也保持足够的安全,也没有真正的需要旋转它们。
以下RFC是各种DNSSEC相关build议的来源:
RFC 4641 – DNSSEC操作规范,版本2
……在母区有相应DSlogging的KSKs的合理有效期约为20年或更长 。 也就是说,如果不打算testing翻车程序,钥匙应该基本上永久生效,只有在紧急情况下才能翻车。
DNSSSEC具有区域签名密钥的概念,您将在30天内注意到(有一些重叠)。 您提交给注册商的密钥称为密钥签名密钥,并且可以有不同的轮换计划。
我想你甚至可以创build几个ZSK与你的KSK签名,然后保持KSK离线。