Apakah saya perlu memperbarui kunci yang saya setor di penyedia domain saya?

8

Saya telah menyiapkan beberapa domain dengan dnssec. Saya membuat kunci dan menandatangani zona dengan zonesigner dari dnssec-tools. Saya tahu bahwa saya harus mengundurkan diri dari zona dalam 30 hari. Tapi ada apa dengan kunci yang saya setor di penyedia domain saya? Apakah saya perlu memperbarui kunci juga? Jika ya, bagaimana? Tidak dapat menemukan informasi tentang ini di situs web.

pengguna1091344
sumber

Jawaban:

9

Anda tidak diharuskan memperbarui kunci. Tidak seperti catatan RRSIG, kunci DNSSEC dan tanda tangan DS yang sesuai tidak memiliki tanggal kedaluwarsa.

KSK (Kunci penandatanganan Kunci):

Anda dapat memilih untuk memutar kunci dari waktu ke waktu, alasan untuk melakukannya mungkin misalnya bahwa kunci Anda mungkin dicuri dan Anda tidak tahu. Jika KSK Anda tetap offline dan karenanya tidak mungkin dikompromikan, tidak ada kebutuhan nyata untuk memutar KSK.

ZSK (Kunci penandatanganan Zona):

Untuk merotasi yang tidak Anda butuhkan penyedia domain Anda, jadi jauh lebih mudah untuk memutar. Meskipun jika ZSK juga dijaga cukup aman, tidak ada kebutuhan nyata untuk memutarnya juga.

RFC berikut adalah sumber dari berbagai rekomendasi terkait DNSSEC:

RFC 4641 - Praktek Operasional DNSSEC, Versi 2

.... periode efektivitas yang wajar untuk KSK yang memiliki catatan DS yang sesuai di zona induk adalah dalam urutan 2 dekade atau lebih . Artinya, jika seseorang tidak berencana untuk menguji prosedur rollover, kuncinya pada dasarnya akan efektif selamanya, dan hanya berguling jika terjadi keadaan darurat.

Sandman4
sumber
Jika saya memutar Kunci penandatanganan Kunci, apakah saya akan mendapatkan tanda tangan DS baru?
user1091344
Anda harus mengirimkan Kunci Penandatanganan publik baru kepada penyedia domain Anda, dan mereka harus membuat catatan DS baru yang sesuai.
Sandman4
Terima kasih banyak atas jawaban ini, itu sangat membantu. Seandainya saya bisa memberi Anda lebih dari sekadar +1 untuk jawabannya.
Mark Tomlin
0

DNSSSEC memiliki konsep Zone Signing Keys yang akan Anda miliki pada 30 hari Anda yang dicatat (dengan beberapa tumpang tindih). Kunci-kunci yang Anda kirimkan ke registrar disebut Key Signing Keys, dan dapat memiliki jadwal rotasi yang berbeda.

Saya pikir Anda bahkan dapat membuat beberapa ZSK ditandatangani dengan KSK Anda, dan kemudian membuat KSK offline.

menjadi paling lucu
sumber