我已经使用 dnssec 设置了一些域。我生成了密钥,并使用 dnssec-tools 中的 zonesigner 对区域进行了签名。我知道我必须在 30 天内重新签发这些区域。但我存放在域名提供商处的密钥怎么办?我也需要续订密钥吗?如果需要,该怎么做?在网站上找不到有关此问题的任何信息。
答案1
您不需要更新密钥。与 RRSIG 记录不同,DNSSEC 密钥和相应的 DS 签名没有到期日期。
韩国科学技术振兴院(密钥签名密钥):
你可能选择不时轮换密钥,这样做的原因可能是您的密钥可能被盗而您不知道。如果您的 KSK 处于离线状态,因此不太可能受到损害,则没有必要轮换 KSK。
中科院(区域签名密钥):
要轮换这些,您不需要域名提供商,因此轮换起来要容易得多。但如果 ZSK 也保持足够安全,就没有必要轮换它们。
以下 RFC 是各种 DNSSEC 相关建议的来源:
.... 对于在父区域中具有相应 DS 记录的 KSK,合理的有效期约为20年或更长时间也就是说,如果不打算测试续期程序,那么密钥应该基本上永远有效,并且只在紧急情况下才需要续期。
答案2
DNSSSEC 有区域签名密钥的概念,您可以在指定的 30 天内拥有这些密钥(有些重叠)。您提交给注册商的密钥称为密钥签名密钥,并且可以有不同的轮换计划。
我认为您甚至可以创建多个使用您的 KSK 签名的 ZSK,然后让 KSK 保持离线状态。