我已经用dnssec建立了一些域名.我生成了密钥并使用dnssec-tools中的zonesigner对区域进行了签名.我知道我必须在30天内辞职.但是我存放在我的域名提供商处的密钥是怎么回事?我是否还需要更新钥匙?如果有,怎么样?在网站上找不到任何相关信息.
解决方法
您无需续订密钥.与RRSIG记录不同,DNSSEC密钥和相应的DS签名没有到期日期.
KSK(密钥签名密钥):
您可以选择不时地旋转密钥,这样做的原因可能是您的密钥可能被盗而您不知道.如果您的KSK保持离线状态,因此不太可能受到损害,则无需旋转KSK.
ZSK(区域签名密钥):
要轮换那些您不需要域名提供者的内容,因此旋转起来要容易得多.虽然如果ZSK也足够安全,那么也不需要旋转它们.
以下RFC是各种DNSSEC相关建议的来源:
RFC 4641 – DNSSEC Operational Practices,Version 2
…. a reasonable effectivity period for KSKs that have corresponding
DS records in the parent zone is of the order of 2 decades or longer. That is,if one does not plan to test the rollover procedure,the key should be effective essentially forever,and only rolled over in case of emergency.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
