dnssecでいくつかのドメインを設定しました。キーを生成し、dnssec-toolsのzonesignerを使用してゾーンに署名しました。30日以内にゾーンを辞任する必要があることを知っています。しかし、ドメインプロバイダーに預けたキーはどうなっているのでしょうか。キーも更新する必要がありますか?はいの場合、どのように?ウェブサイトでこれに関する情報を見つけることができません。
dnssecでいくつかのドメインを設定しました。キーを生成し、dnssec-toolsのzonesignerを使用してゾーンに署名しました。30日以内にゾーンを辞任する必要があることを知っています。しかし、ドメインプロバイダーに預けたキーはどうなっているのでしょうか。キーも更新する必要がありますか?はいの場合、どのように?ウェブサイトでこれに関する情報を見つけることができません。
回答:
キーを更新する必要はありません。RRSIGレコードとは異なり、DNSSECキーと対応するDS署名には有効期限がありません。
KSK(キー署名キー):
あなたは時々キーをローテーションすることを選択するかもしれません、そうする理由は例えばあなたのキーが盗まれてあなたが知らないかもしれません。KSKがオフラインに保たれているために侵害される可能性が低い場合、KSKをローテーションする必要はありません。
ZSK(ゾーン署名キー):
ドメインプロバイダーを必要としないものをローテーションするには、ローテーションがはるかに簡単です。ただし、ZSKも十分に安全に保たれている場合、ZSKを回転させる必要はありません。
次のRFCは、DNSSEC関連のさまざまな推奨事項のソースです。
....対応するDSレコードが親ゾーンにあるKSKの妥当な有効期間は、20年以上のオーダーです。つまり、ロールオーバー手順をテストする予定がない場合、キーは本質的に永久に有効であり、緊急の場合にのみロールオーバーされる必要があります。