我已经开始在个人域名上使用DNSSEC,并使用OpenDNSSEC进行签名和密钥维护; 我只有一个静态区域,所以OpenDNSSEC很容易。
为了玩弄东西,我决定为我的KSK和ZSK做一个手动键盘翻转。 ZSK从退休到死亡的过渡需要两周的时间。 考虑到大多数TTL小于48小时,并且传播延迟不超过24小时,这是一个非常大的时间,而且看起来完全没有必要。
我一直在阅读文档“ 部署DNSSEC的良好实践指南 ”,他们推荐这两个星期的延迟,但似乎没有给出延迟的理由。
是什么赋予了?
从论文:
从一个状态转换到下一个状态的持续时间取决于区域中logging的使用期限,将区域传送到外部服务器所需的时间以及时钟抖动时间(Internet-Draft,DNSSEC Key Timing Considerations)。
和
KSK退休前的build议时间(退休时间)为四周。 对于ZSK,推荐的介绍时间是四天,退休时间是两周。
由于所引用文件的作者之一(Patrik W)恰好坐在十米远的地方,我去问他。 事实certificate,该文件是旧的(2010年3月),基本上不再相关。 你可以放心地忽略一周的时间。 退休时间多长时间的简短答案是“TTL的两倍,可能还有一点余地”。 漫长的答案就是这个IETF草案 。