ドメインプロバイダーに預けたキーを更新する必要がありますか?


8

dnssecでいくつかのドメインを設定しました。キーを生成し、dnssec-toolsのzonesignerを使用してゾーンに署名しました。30日以内にゾーンを辞任する必要があることを知っています。しかし、ドメインプロバイダーに預けたキーはどうなっているのでしょうか。キーも更新する必要がありますか?はいの場合、どのように?ウェブサイトでこれに関する情報を見つけることができません。

回答:


9

キーを更新する必要はありません。RRSIGレコードとは異なり、DNSSECキーと対応するDS署名には有効期限がありません。

KSK(キー署名キー):

あなた時々キーをローテーションすることを選択するかもしれません、そうする理由は例えばあなたのキーが盗まれてあなたが知らないかもしれません。KSKがオフラインに保たれているために侵害される可能性が低い場合、KSKをローテーションする必要はありません。

ZSK(ゾーン署名キー):

ドメインプロバイダーを必要としないものをローテーションするには、ローテーションがはるかに簡単です。ただし、ZSKも十分に安全に保たれている場合、ZSKを回転させる必要はありません。

次のRFCは、DNSSEC関連のさまざまな推奨事項のソースです。

RFC 4641-DNSSEC運用慣行、バージョン2

....対応するDSレコードが親ゾーンにあるKSKの妥当な有効期間は、20年以上のオーダーです。つまり、ロールオーバー手順をテストする予定がない場合、キーは本質的に永久に有効であり、緊急の場合にのみロールオーバーされる必要があります。


鍵署名鍵をローテーションすると、新しいDS署名を取得できますか?
user1091344

新しい公開鍵署名鍵をドメインプロバイダーに送信し、対応する新しいDSレコードを作成する必要があります。
Sandman4

この回答をありがとうございました。とても役に立ちました。答えに+1を差し上げればよかったのに。
Mark Tomlin 2013年

0

DNSSSECには、ゾーンの署名鍵の概念があります。これは、指定された30日間(重複はあります)に持つことになります。レジストラに送信したキーはキー署名キーと呼ばれ、異なるローテーションスケジュールを持つことができます。

KSKで署名された複数のZSKを作成し、KSKをオフラインにしておくこともできると思います。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.