Ho impostato alcuni domini con dnssec. Ho generato le chiavi e firmato le zone con zoneigner da dnssec-tools. So che devo dare le dimissioni entro 30 giorni. Ma che succede con le chiavi che ho depositato presso il mio provider di dominio? Devo rinnovare anche le chiavi? Se si, come? Non è possibile trovare informazioni al riguardo sul sito Web.
Risposte:
Non è necessario rinnovare le chiavi. A differenza dei record RRSIG, le chiavi DNSSEC e le corrispondenti firme DS non hanno una data di scadenza.
KSK (Key Signing Keys):
Si può scegliere di chiavi di rotazione di volta in volta, ragioni per farlo può essere per esempio, che forse le chiavi rubate e non sai. Se il tuo KSK viene tenuto offline e quindi è improbabile che venga compromesso, non è necessario ruotare KSK.
ZSK (chiavi di firma zona):
Per ruotare quelli che non ti servono il tuo provider di dominio, è molto più facile ruotare. Tuttavia, se anche gli ZSK sono mantenuti abbastanza sicuri, non è necessario ruotarli.
Il seguente RFC è la fonte di varie raccomandazioni relative al DNSSEC:
RFC 4641 - Pratiche operative DNSSEC, versione 2
.... un periodo di efficacia ragionevole per i KSK che hanno record DS corrispondenti nella zona padre è dell'ordine di 2 decenni o più . Cioè, se non si prevede di testare la procedura di rollover, la chiave dovrebbe essere efficace per sempre e deve essere capovolta solo in caso di emergenza.
DNSSSEC ha il concetto di Zone Signing Keys che avresti nei tuoi 30 giorni noti (con qualche sovrapposizione). Le chiavi inviate al registrar sono denominate chiavi di firma chiavi e possono avere un programma di rotazione diverso.
Penso che potresti persino creare diversi ZSK firmati con il tuo KSK e quindi mantenere il KSK offline.