为了auto-dnssec maintain在 BIND 9.7 以上版本中实现,需要将日期作为元数据添加到密钥中。经过大量阅读,我得出了以下结论,希望有人可以确认或更正:
$TTL 8h
KSK lifespan == 1y
ZSK lifespan == 30d
Key created published active revoke inactive delete
KSK1 [KSK0 revoke] [active [revoke [inactive
+ lifespan] + 2*TTL] + 2*TTL]
KSK2 [KSK1 revoke [KSK1 revoke]
- 2*TTL]
ZSK 将遵循类似的模式。
最困难的要求是 KSK 和 ZSK 的平稳轮换。我知道在同时使用一对 KSK 或 ZSK 时需要重叠,但我需要帮助确定这些重叠的适当大小。
ZSK 数量加倍(重叠期间)必然会使RRSIG记录数量加倍,因此查询响应的大小也几乎加倍。这是相当主观的;但这种双重负载是否变得重要?
据推测,KSK DS 记录的创建和删除应该与密钥的“发布”和“删除”日期相对应?