DNSSECキーロールオーバーガイドライン

個人ドメインでDNSSECを使い始め、OpenDNSSECを使用して署名とキーのメンテナンスを実行しています。私は静的ゾーンしかないので、OpenDNSSECは簡単に適合します。

物事をいじくり回すために、KSKとZSKの手動キーロールオーバーを行うことにしました。 ZSKがリタイアからデッドに移行するのにかかる時間は2週間です。ほとんどのTTLが48時間未満であり、伝搬遅延が24時間以内であることを考えると、これは膨大な時間であり、完全に不要のようです。

私はドキュメント「 DNSSECを展開するためのグッドプラクティスガイド 」を読んでいます。ここでは、この2週間の遅延を推奨していますが、遅延の正当性を示していないようです。

何が得られますか？

論文から：

ある状態から次の状態への遷移の期間は、ゾーン内のレコードの存続期間、ゾーンを外部サーバーに配信するために必要な時間、およびクロックジッター時間の関数です（インターネット-ドラフト、DNSSECキータイミングの考慮事項）。

そして

KSKがゾーンから削除される前にリタイアする推奨期間（リタイア時間）は4週間です。 ZSKの場合、推奨される導入期間は4日、廃止期間は2週間です。