Динамические инструкции по ключу DNSSEC
Я начал играть с DNSSEC на своем персональном домене, и я использую OpenDNSSEC для выполнения подписания и ключевого обслуживания; у меня только есть статическая зона, таким образом, OpenDNSSEC является легким соответствием.
Только для играния с вещами я решил сделать ручную ключевую трансформацию для своего KSK и ZSK. Время, которое это собирается занять для ZSK для перехода от на пенсии до мертвых, составляет две недели. Это - серьезное количество времени и кажется абсолютно ненужным, учитывая, что большинство TTLs составляет меньше чем 48 часов, и задержки распространения являются не больше, чем 24 часами.
Я читал документ "Хорошее Руководство Методов для Развертывания DNSSEC", где они рекомендуют эту двухнедельную задержку, но, кажется, не дают выравнивание для задержки.
Что дает?
Из бумаги:
Продолжительность перехода от одного состояния до следующего является функцией времени жизни записей в зоне, время, требуемое поставить зоны внешним серверам и показать время дрожания (Интернет - Проект, Ключ DNSSEC Синхронизация Соображений).
и
Рекомендуемый период, в течение которого ликвидирован KSK, прежде чем он будет удален из зоны (пенсионное время) составляет четыре недели. Для ZSK рекомендуемое вводное время составляет четыре дня, и пенсионное время составляет две недели.
Так как случилось так, что один из авторов (Патрик В.) указанного документа сидит метрах в десяти, я подошел и спросил его. И оказывается, что это старый документ (он датирован мартом 2010 г.) и в основном уже не актуален. Вы можете смело игнорировать недельное время. Краткий ответ на вопрос, сколько времени уйти на пенсию, - это «вдвое больше TTL и, возможно, небольшая маржа». Подробный ответ - этот черновик IETF .