Я настроил некоторые домены с помощью dnssec. Я сгенерировал ключи и подписал зоны с помощью zoneigner из dnssec-tools. Я знаю, что я должен покинуть зоны в течение 30 дней. Но что случилось с ключами, которые я сдал на хранение у моего провайдера домена? Нужно ли обновлять ключи тоже? Если да, то как? Не могу найти никакой информации об этом на сайте.
Ответы:
Вы не обязаны продлевать ключи. В отличие от записей RRSIG, ключи DNSSEC и соответствующие подписи DS не имеют срока годности.
KSK (Ключи для подписи ключей):
Вы можете время от времени поворачивать ключи, например, причина может заключаться в том, что ваши ключи могут быть украдены, а вы не знаете. Если ваш KSK хранится в автономном режиме и, таким образом, вряд ли будет скомпрометирован, нет никакой необходимости вращать KSK.
ЗСК (Ключи подписи зоны):
Чтобы повернуть тех, кто вам не нужен, ваш провайдер домена, таким образом, гораздо проще повернуть. Хотя, если ZSK также достаточно безопасны, то нет необходимости их вращать.
Следующий RFC является источником различных рекомендаций, связанных с DNSSEC:
RFC 4641 - эксплуатационные практики DNSSEC, версия 2
.... разумный период действия для KSK, имеющих соответствующие записи DS в родительской зоне, составляет порядка 2 десятилетий или более . То есть, если вы не планируете тестировать процедуру переворачивания, ключ должен действовать практически вечно и только переворачивается в случае крайней необходимости.
DNSSSEC имеет концепцию зонных ключей подписи, которые вы будете использовать в свои отмеченные 30 дней (с некоторым совпадением). Те ключи, которые вы отправили регистратору, называются ключами для подписи ключей и могут иметь другое расписание ротации.
Я думаю, что вы могли бы даже создать несколько подписей ZSK с вашим KSK, а затем оставить KSK в автономном режиме.