DNSSEC 密钥元数据建议

DNSSEC 密钥元数据建议

为了auto-dnssec maintain在 BIND 9.7 以上版本中实现,需要将日期作为元数据添加到密钥中。经过大量阅读,我得出了以下结论,希望有人可以确认或更正:

$TTL 8h
KSK lifespan == 1y
ZSK lifespan == 30d

Key    created  published    active        revoke       inactive   delete
KSK1                         [KSK0 revoke] [active      [revoke    [inactive
                                            + lifespan]  + 2*TTL]   + 2*TTL]
KSK2            [KSK1 revoke [KSK1 revoke]
                 - 2*TTL]

ZSK 将遵循类似的模式。

最困难的要求是 KSK 和 ZSK 的平稳轮换。我知道在同时使用一对 KSK 或 ZSK 时需要重叠,但我需要帮助确定这些重叠的适当大小。

ZSK 数量加倍(重叠期间)必然会使RRSIG记录数量加倍,因此查询响应的大小也几乎加倍。这是相当主观的;但这种双重负载是否变得重要?

据推测,KSK DS 记录的创建和删除应该与密钥的“发布”和“删除”日期相对应?

相关内容