use*_*344 8 domain-name-system domain nameserver dnssec
我已经用 dnssec 设置了一些域。我生成了密钥并使用来自 dnssec-tools 的 zonesigner 对区域进行了签名。我知道我必须在 30 天内辞职。但是我存放在域名提供商处的密钥怎么办?我也需要更新密钥吗?如果是,如何?在网站上找不到有关此的任何信息。
您不需要更新密钥。与 RRSIG 记录不同,DNSSEC 密钥和相应的 DS 签名没有到期日期。
KSK(密钥签名密钥):
您可以选择不时轮换密钥,这样做的原因可能是例如您的密钥可能被盗而您不知道。如果您的 KSK 保持离线状态,因此不太可能受到损害,则没有真正需要轮换 KSK。
ZSK(区域签名密钥):
要轮换那些您不需要域提供商的,因此轮换要容易得多。虽然如果 ZSK 也保持足够安全,也没有真正需要轮换它们。
以下 RFC 是各种 DNSSEC 相关建议的来源:
.... 在父区域中具有相应 DS 记录的 KSK 的合理有效期约为2 个十年或更长。也就是说,如果不打算测试翻转程序,密钥应该基本上永远有效,并且只在紧急情况下翻转。
| 归档时间: |
|
| 查看次数: |
1943 次 |
| 最近记录: |