Domain-Name-System
我是否需要更新我存放在域名提供商處的密鑰?
我已經使用 dnssec 設置了一些域。我生成了密鑰並使用來自 dnssec-tools 的 zonesigner 對區域進行了簽名。我知道我必須在 30 天內辭職。但是我存放在我的域名提供商處的密鑰是怎麼回事?我也需要更新密鑰嗎?如果是,如何?在網站上找不到任何有關此的資訊。
**您不需要更新密鑰。**與 RRSIG 記錄不同,DNSSEC 密鑰和相應的 DS 簽名沒有到期日期。
KSK(密鑰簽名密鑰):
您可能會選擇不時輪換密鑰,這樣做的原因可能是您的密鑰可能被盜而您不知道。如果您的 KSK 處於離線狀態,因此不太可能受到損害,則沒有必要輪換 KSK。
ZSK(區域簽名密鑰):
要輪換那些您不需要您的域提供商,因此輪換要容易得多。儘管如果 ZSK 也保持足夠安全,那麼也沒有真正需要輪換它們。
以下 RFC 是各種 DNSSEC 相關建議的來源:
…. 在父區域中具有相應 DS 記錄的 KSK 的合理有效期為2 個十年或更長時間。也就是說,如果不打算測試翻轉程序,則密鑰應該基本上永遠有效,並且僅在緊急情況下翻轉。