ant*_*duh 3 domain-name-system dnssec
我已经开始在我的个人域上使用 DNSSEC,并且我正在使用 OpenDNSSEC 来执行签名和密钥维护;我只有一个静态区域,所以 OpenDNSSEC 很适合。
只是为了玩弄东西,我决定为我的 KSK 和 ZSK 进行手动密钥翻转。ZSK 从退役过渡到死亡所需的时间是两周。考虑到大多数 TTL 小于 48 小时且传播延迟不超过 24 小时,这是大量时间,而且似乎完全没有必要。
我一直在阅读文档“部署 DNSSEC 的良好实践指南”,他们建议延迟两周,但似乎没有为延迟提供理由。
是什么赋予了?
从论文:
从一种状态转换到下一种状态的持续时间取决于区域中记录的生命周期、将区域传送到外部服务器所需的时间以及时钟抖动时间(Internet 草案、DNSSEC 关键时序注意事项)。
和
在将 KSK 从区域中移除之前将其停用的建议期限(停用时间)为 4 周。对于 ZSK ,推荐的引入时间是四天,退役时间是两周。
由于碰巧引用文件的作者之一 (Patrik W) 坐在大约十米外,我去问他。事实证明,该文档已经过时(日期为 2010 年 3 月)并且基本上不再相关。您可以放心地忽略长达一周的时间。退休时间有多长的简短回答是“TTL 的两倍,可能还有一点余量”。长答案是这个 IETF 草案。
| 归档时间: |
|
| 查看次数: |
349 次 |
| 最近记录: |