도메인 공급자에게 입금 한 키를 갱신해야합니까?


8

dnssec으로 일부 도메인을 설정했습니다. 키를 생성하고 dnssec-tools의 zonesigner를 사용하여 영역에 서명했습니다. 30 일 이내에 해당 영역을 사임해야한다는 것을 알고 있습니다. 하지만 도메인 제공 업체에 입금 한 키는 어떻게 되나요? 키도 갱신해야합니까? 그렇다면 어떻게? 웹 사이트에서 이에 대한 정보를 찾을 수 없습니다.

답변:


9

키를 갱신하지 않아도됩니다. RRSIG 레코드와 달리 DNSSEC 키 및 해당 DS 서명에는 만료 날짜가 없습니다.

KSK (키 서명 키) :

당신은 할 수 있습니다 때때로 회전 키를 선택, 이유는 아마도 당신의 열쇠 도난 당신이 모르는 예를 들어있을 수 있습니다 그렇게 할 수 있습니다. KSK가 오프라인 상태로 유지되어 훼손되지 않을 경우 KSK를 회전시킬 필요가 없습니다.

ZSK (영역 서명 키) :

도메인 공급자가 필요하지 않은 것을 회전 시키려면 회전하기가 훨씬 쉽습니다. ZSK도 충분히 안전하게 유지하더라도 실제로 ZSK를 회전 할 필요는 없습니다.

다음 RFC는 다양한 DNSSEC 관련 권장 사항의 소스입니다.

RFC 4641-DNSSEC 운영 실무, 버전 2

.... 부모 영역에 해당 DS 레코드가있는 KSK의 합리적인 효과 기간은 20 년 이상 입니다. 즉, 롤오버 절차를 테스트하지 않으려는 경우 키는 본질적으로 영구적으로 적용되어야하며 긴급시에만 롤오버해야합니다.


키 서명 키를 돌리면 새로운 DS 서명이 제공됩니까?
user1091344

공개 키 서명 키를 도메인 공급자에게 보내야하며 해당 새 DS 레코드를 만들어야합니다.
Sandman4

이 답변에 대해 대단히 감사합니다. 매우 도움이되었습니다. 답변을 위해 +1을 더 줄 수 있기를 바랍니다.
Mark Tomlin

0

DNSSSEC에는 30 일 동안 (존재할 수있는) 영역 서명 키 개념이 있습니다. 등록 기관에 제출 한 키를 키 서명 키라고하며 다른 로테이션 일정을 가질 수 있습니다.

KSK에 서명 한 ZSK를 여러 개 만든 다음 KSK를 오프라인으로 유지할 수도 있다고 생각합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.