Я должен обновить ключи, которые я внес в своем доменном поставщике?
У меня был тот же вопрос, который решен путем изменения IP-адреса в виртуальных каталогах обмена IIS.
Вам не требуется обновлять ключи. В отличие от записей RRSIG, ключи DNSSEC и соответствующие подписи DS не имеют срока действия.
KSK (Ключи для подписи ключей):
Вы можете время от времени менять ключи. Причины для этого могут заключаться, например, в том, что ваши ключи украдены, а вы этого не сделаете. не знаю. Если ваш KSK находится в автономном режиме и, следовательно, маловероятно, что он будет скомпрометирован, нет реальной необходимости менять KSK.
ZSK (Ключи для подписи зоны):
Чтобы поменять местами те, которые вам не нужны, ваш провайдер домена гораздо проще поменять местами. Хотя, если ZSK также достаточно безопасны, нет реальной необходимости их менять.
Следующий RFC является источником различных рекомендаций, связанных с DNSSEC:
RFC 4641 - Практика работы DNSSEC, версия 2
. ... разумный срок действия для ключей KSK, которые имеют соответствующие Записи DS в родительской зоне имеют порядок 2 декады или длиннее . То есть, если тестировать ролловер не планируется процедура, ключ должен действовать по существу навсегда, и переносится только в случае крайней необходимости.
DNSSSEC имеет концепцию ключей подписи зоны, которые у вас будут в указанные 30 дней (с некоторым перекрытием). Эти ключи, которые вы отправили регистратору, называются ключами для подписи ключей, и у них может быть другой график ротации.
Я думаю, вы даже можете создать несколько ZSK, подписанных вашим KSK, а затем оставить KSK в автономном режиме.