Preciso renovair as keys que depositei no meu provedor de domínio?

Eu configurei alguns domínios com o dnssec. Eu gerei as keys e assinei as zonas com zoneigner de dnssec-tools. Eu sei que devo demitir as zonas dentro de 30 dias. Mas o que aconteceu com as keys que depositei no meu provedor de domínio? Preciso renovair as keys também? Se sim, como? Não encontra nenhuma informação sobre isso no site.

2 Solutions collect form web for “Preciso renovair as keys que depositei no meu provedor de domínio?”

Não é necessário renovair as keys. Ao contrário dos registros da RRSIG, as keys DNSSEC e assinaturas DS correspondentes não têm data de validade.

KSK (teclas de assinatura de teclas):

Você pode optair por girair as keys de tempos em tempos, os motivos paira isso podem ser, por exemplo, possivelmente suas keys roubadas e você não sabe. Se o seu KSK for mantido fora de linha e, portanto, é improvável que seja comprometido, não há necessidade real de roteair o KSK.

ZSK (teclas de assinatura de zona):

Paira girair aqueles que você não precisa do seu provedor de domínio, é muito mais fácil roteair. Embora, se os ZSKs também forem mantidos em security, não há necessidade real de roteá-los também.

O seguinte RFC é a fonte de várias recomendações relacionadas ao DNSSEC:

RFC 4641 – DNSSEC Operational Practices, Versão 2

…. um período de efetividade razoável paira os KSKs que tenham registros DS correspondentes na zona pai é da order de 2 décadas ou mais . Ou seja, se não se planeja testair o procedimento de rolagem, a key deve ser efetiva essencialmente paira sempre, e somente rolou em caso de emergência.

DNSSSEC tem o conceito de teclas de assinatura de zona que você teria em seus 30 dias observados (com alguma sobreposition). As keys que você enviou ao registrador são chamadas de keys de assinatura de key e podem ter uma programação de rotation diferente.

Eu acho que você poderia até mesmo criair vários ZSK assinados com seu KSK e, em seguida, manter o KSK offline.

  • Redirecionamento estranho paira localhost! http://dp.000.in/?
  • O server mestre PowerDNS não notifica
  • Zonas DNS: critérios paira criair novas delegações de zona
  • Que TLDs devo usair paira os meus registros NS paira redundância? (Suporte DNSSEC necessário)
  • Configure um server DNS por interface nic (eth0 / eth1)?
  • Servidor de DNS secundário?
  • Como testair o novo server de nomes antes paira torná-lo vivo
  • Como faço paira configurair meu DNS paira que o server FQDN atenda seu próprio DNS?