Anda tidak diharuskan memperbarui kunci. Tidak seperti catatan RRSIG, kunci DNSSEC dan tanda tangan DS yang sesuai tidak memiliki tanggal kedaluwarsa.
KSK (Kunci penandatanganan Kunci):
Anda dapat memilih untuk memutar kunci dari waktu ke waktu, alasan untuk melakukannya mungkin misalnya bahwa kunci Anda mungkin dicuri dan Anda tidak tahu. Jika KSK Anda tetap offline dan karenanya tidak mungkin dikompromikan, tidak ada kebutuhan nyata untuk memutar KSK.
ZSK (Kunci penandatanganan Zona):
Untuk merotasi yang tidak Anda butuhkan penyedia domain Anda, jadi jauh lebih mudah untuk memutar. Meskipun jika ZSK juga dijaga cukup aman, tidak ada kebutuhan nyata untuk memutarnya juga.
RFC berikut adalah sumber dari berbagai rekomendasi terkait DNSSEC:
RFC 4641 - Praktek Operasional DNSSEC, Versi 2
.... periode efektivitas yang wajar untuk KSK yang memiliki catatan DS yang sesuai di zona induk adalah dalam urutan 2 dekade atau lebih . Artinya, jika seseorang tidak berencana untuk menguji prosedur rollover, kuncinya pada dasarnya akan efektif selamanya, dan hanya berguling jika terjadi keadaan darurat.
DNSSSEC memiliki konsep Zone Signing Keys yang akan Anda miliki pada 30 hari Anda yang dicatat (dengan beberapa tumpang tindih). Kunci-kunci yang Anda kirimkan ke registrar disebut Key Signing Keys, dan dapat memiliki jadwal rotasi yang berbeda.
Saya pikir Anda bahkan dapat membuat beberapa ZSK ditandatangani dengan KSK Anda, dan kemudian membuat KSK offline.
sumber