ドメインプロバイダーに預け入れた鍵を更新する必要がありますか?
私はdnssecでいくつかのドメインを設定しました。キーを生成し、dnssec-toolsのzonesignerを使用してゾーンに署名しました。私は30日以内にゾーンを辞任しなければならないことを知っています。しかし、ドメインプロバイダーに預けた鍵はどうなっているのでしょうか。キーも更新する必要がありますか?はいの場合、どのように?ウェブサイトでこれに関する情報を見つけることができません。
キーを更新する必要はありません。RRSIGレコードとは異なり、DNSSECキーと対応するDS署名には有効期限がありません。
[〜#〜] ksk [〜#〜](鍵署名鍵):
あなたmayは時々キーを回転させることを選択するかもしれません、そうする理由は例えばあなたのキーが盗まれてあなたが知らないかもしれません。 KSKがオフラインに保たれているため、侵害される可能性が低い場合は、KSKをローテーションする必要はありません。
[〜#〜] zsk [〜#〜](ゾーン署名キー):
それらをローテーションするには、ドメインプロバイダーは必要ないため、ローテーションがはるかに簡単です。 ZSKも十分に安全に保たれていれば、実際に回転させる必要はありません。
次のRFCは、DNSSEC関連のさまざまな推奨事項のソースです。
....対応するDSレコードが親ゾーンにあるKSKの妥当な有効期間は、20年以上。つまり、ロールオーバー手順をテストする予定がない場合、キーは基本的に永久に有効であり、緊急の場合にのみロールオーバーされる必要があります。
DNSSSECには、記録された30日間に使用するゾーン署名キーの概念があります(一部重複しています)。レジストラに送信したキーはキー署名キーと呼ばれ、異なるローテーションスケジュールを持つことができます。
KSKで署名されたZSKをいくつか作成して、KSKをオフラインにしておくこともできると思います。