我是否需要更新我存放在域名提供商處的密鑰？

我已經使用 dnssec 設置了一些域。我生成了密鑰並使用來自 dnssec-tools 的 zonesigner 對區域進行了簽名。我知道我必須在 30 天內辭職。但是我存放在我的域名提供商處的密鑰是怎麼回事？我也需要更新密鑰嗎？如果是，如何？在網站上找不到任何有關此的資訊。

**您不需要更新密鑰。**與 RRSIG 記錄不同，DNSSEC 密鑰和相應的 DS 簽名沒有到期日期。

KSK（密鑰簽名密鑰）：

您可能會選擇不時輪換密鑰，這樣做的原因可能是您的密鑰可能被盜而您不知道。如果您的 KSK 處於離線狀態，因此不太可能受到損害，則沒有必要輪換 KSK。

ZSK（區域簽名密鑰）：

要輪換那些您不需要您的域提供商，因此輪換要容易得多。儘管如果 ZSK 也保持足夠安全，那麼也沒有真正需要輪換它們。

以下 RFC 是各種 DNSSEC 相關建議的來源：

RFC 4641 - DNSSEC 操作實踐，第 2 版

…. 在父區域中具有相應 DS 記錄的 KSK 的合理有效期為2 個十年或更長時間。也就是說，如果不打算測試翻轉程序，則密鑰應該基本上永遠有效，並且僅在緊急情況下翻轉。

引用自：https://serverfault.com/questions/385478