domain-name-system – DNSSEC密钥翻转指南

发布时间：2020-12-14 23:38:08 所属栏目：资源来源：网络整理

导读：我已经开始在我的个人域名中使用DNSSEC,我正在使用OpenDNSSEC来执行签名和密钥维护;我只有一个静态区域,所以OpenDNSSEC很容易. 为了玩具,我决定为我的KSK和ZSK做一个手动按键翻转. ZSK从退役过渡到死亡的时间是两周.考虑到大多数TTL小于48小时且传播延迟不超

我已经开始在我的个人域名中使用DNSSEC,我正在使用OpenDNSSEC来执行签名和密钥维护;我只有一个静态区域,所以OpenDNSSEC很容易.

为了玩具,我决定为我的KSK和ZSK做一个手动按键翻转. ZSK从退役过渡到死亡的时间是两周.考虑到大多数TTL小于48小时且传播延迟不超过24小时,这是一个大量的时间,似乎完全没必要.

我一直在阅读文件“Good Practices Guide for Deploying DNSSEC”,他们建议这两周延迟,但似乎没有给出延迟的理由.

是什么赋予了？

从论文：

The duration of the transition from one state to the next is a
function of the lifetime of the records in a zone,the time required
to deliver the zones to the external servers and clock jitter time
(Internet – Draft,DNSSEC Key Timing Considerations ) .

和

The recommended period during which a KSK is retired before it is
removed from the zone ( retirement time ) is four weeks. For the ZSK,
the recommended introduction time is four days and the retirement
time is two weeks.

解决方法

由于引用文件的作者之一(Patrik W)坐在大约十米之外,我就去问他.事实证明,文件是旧的(它是2010年3月的日期)并且基本上不再相关.你可以安全地忽略一周的时间.退休时间有多长的简短答案是“TTL的两倍,可能还有一点差距”.答案很长,是 this IETF draft.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!