domain-name-system – DNSSEC密钥翻转指南
我已经开始在我的个人域名中使用DNSSEC,我正在使用OpenDNSSEC来执行签名和密钥维护;我只有一个静态区域,所以OpenDNSSEC很容易.
为了玩具,我决定为我的KSK和ZSK做一个手动按键翻转. ZSK从退役过渡到死亡的时间是两周.考虑到大多数TTL小于48小时且传播延迟不超过24小时,这是一个大量的时间,似乎完全没必要. 我一直在阅读文件“Good Practices Guide for Deploying DNSSEC”,他们建议这两周延迟,但似乎没有给出延迟的理由. 是什么赋予了? 从论文:
和
解决方法
由于引用文件的作者之一(Patrik W)坐在大约十米之外,我就去问他.事实证明,文件是旧的(它是2010年3月的日期)并且基本上不再相关.你可以安全地忽略一周的时间.退休时间有多长的简短答案是“TTL的两倍,可能还有一点差距”.答案很长,是
this IETF draft.
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |