我已经开始在我的个人域名上使用 DNSSEC,并且我正在使用 OpenDNSSEC 执行签名和密钥维护;我只有一个静态区域,因此 OpenDNSSEC 很容易适应。
为了试试看,我决定为我的 KSK 和 ZSK 手动进行密钥轮换。ZSK 从退休状态过渡到死亡状态需要两周时间。这是一个巨大的时间,而且似乎完全没有必要,因为大多数 TTL 都少于 48 小时,传播延迟不超过 24 小时。
我一直在阅读这份文件“部署 DNSSEC 的良好实践指南“他们建议延期两周,但似乎没有给出延期的理由。
是什么赋予了?
摘自论文:
从一种状态到另一种状态的转换持续时间取决于区域中记录的生存期、将区域传送到外部服务器所需的时间以及时钟抖动时间 (互联网 - 草案,DNSSEC 密钥时间注意事项)。
和
KSK 从区域移除之前的建议退役时间(退役时间)为四周。对于 ZSK ,建议的引入时间为四天,退役时间为两周。
答案1
由于引用文档的作者之一 (Patrik W) 恰巧坐在大约十米外,所以我走过去问了他。结果发现,文档已经过时了(日期为 2010 年 3 月),基本上不再相关。您可以放心地忽略为期一周的时间。对于退休时间应该有多长,简短的回答是“两倍的 TTL 和可能一点余量”。详细答案是此 IETF 草案。