Tôi đã thiết lập một số tên miền với dnssec. Tôi đã tạo các khóa và ký các vùng với khu vực từ dnssec-tools. Tôi biết rằng tôi phải từ chức các khu vực trong vòng 30 ngày. Nhưng những gì tôi đã gửi với các khóa mà tôi đã gửi tại nhà cung cấp tên miền của tôi? Tôi có cần gia hạn chìa khóa không? Nếu có, làm thế nào? Không thể tìm thấy bất kỳ thông tin về điều này trên trang web.
Câu trả lời:
Bạn không cần phải gia hạn các phím. Không giống như các bản ghi RRSIG, các khóa DNSSEC và chữ ký DS tương ứng không có ngày hết hạn.
KSK (Khóa ký chính):
Thỉnh thoảng bạn có thể chọn xoay khóa, lý do để làm như vậy có thể là ví dụ có thể khóa của bạn bị đánh cắp và bạn không biết. Nếu KSK của bạn được giữ ngoại tuyến và do đó không có khả năng bị xâm phạm, thì thực sự không cần phải xoay KSK.
ZSK (Khóa ký khu vực):
Để xoay những người bạn không cần nhà cung cấp tên miền của mình, do đó việc xoay vòng dễ dàng hơn nhiều. Mặc dù nếu ZSK cũng được giữ an toàn, nhưng thực sự không cần phải xoay chúng.
RFC sau đây là nguồn gốc của các khuyến nghị khác nhau liên quan đến DNSSEC:
RFC 4641 - Thực hành hoạt động DNSSEC, Phiên bản 2
.... một khoảng thời gian hiệu quả hợp lý cho các KSK có bản ghi DS tương ứng trong vùng mẹ là thứ tự từ 2 thập kỷ trở lên . Đó là, nếu một người không có kế hoạch kiểm tra thủ tục tái đầu tư, khóa sẽ có hiệu lực cơ bản mãi mãi và chỉ được chuyển qua trong trường hợp khẩn cấp.
DNSSSEC có khái niệm về Khóa ký tên khu vực mà bạn sẽ có trong 30 ngày lưu ý của bạn (với một số chồng chéo). Các khóa mà bạn đã gửi cho nhà đăng ký được gọi là Khóa ký tên và có thể có lịch quay khác nhau.
Tôi nghĩ rằng bạn thậm chí có thể tạo một số ZSK đã ký với KSK của mình và sau đó giữ cho KSK ngoại tuyến.