dnssec으로 일부 도메인을 설정했습니다. 키를 생성하고 dnssec-tools의 zonesigner를 사용하여 영역에 서명했습니다. 30 일 이내에 해당 영역을 사임해야한다는 것을 알고 있습니다. 하지만 도메인 제공 업체에 입금 한 키는 어떻게 되나요? 키도 갱신해야합니까? 그렇다면 어떻게? 웹 사이트에서 이에 대한 정보를 찾을 수 없습니다.
답변
키를 갱신하지 않아도됩니다. RRSIG 레코드와 달리 DNSSEC 키 및 해당 DS 서명에는 만료 날짜가 없습니다.
KSK (키 서명 키) :
당신은 할 수 있습니다 때때로 회전 키를 선택, 이유는 아마도 당신의 열쇠 도난 당신이 모르는 예를 들어있을 수 있습니다 그렇게 할 수 있습니다. KSK가 오프라인 상태로 유지되어 훼손되지 않을 경우 KSK를 회전시킬 필요가 없습니다.
ZSK (영역 서명 키) :
도메인 공급자가 필요하지 않은 것을 회전 시키려면 회전하기가 훨씬 쉽습니다. ZSK도 충분히 안전하게 유지하더라도 실제로 ZSK를 회전 할 필요는 없습니다.
다음 RFC는 다양한 DNSSEC 관련 권장 사항의 소스입니다.
…. 부모 영역에 해당 DS 레코드가있는 KSK의 합리적인 효과 기간은 20 년 이상 입니다. 즉, 롤오버 절차를 테스트하지 않으려는 경우 키는 본질적으로 영구적으로 적용되어야하며 긴급시에만 롤오버해야합니다.
답변
DNSSSEC에는 30 일 동안 (존재할 수있는) 영역 서명 키 개념이 있습니다. 등록 기관에 제출 한 키를 키 서명 키라고하며 다른 로테이션 일정을 가질 수 있습니다.
KSK에 서명 한 ZSK를 여러 개 만든 다음 KSK를 오프라인으로 유지할 수도 있다고 생각합니다.