Preciso renovair as keys que depositei no meu provedor de domínio?

Eu configurei alguns domínios com o dnssec. Eu gerei as keys e assinei as zonas com zoneigner de dnssec-tools. Eu sei que devo demitir as zonas dentro de 30 dias. Mas o que aconteceu com as keys que depositei no meu provedor de domínio? Preciso renovair as keys também? Se sim, como? Não encontra nenhuma informação sobre isso no site.

2 Solutions collect form web for “Preciso renovair as keys que depositei no meu provedor de domínio?”

Não é necessário renovair as keys. Ao contrário dos registros da RRSIG, as keys DNSSEC e assinaturas DS correspondentes não têm data de validade.

KSK (teclas de assinatura de teclas):

Você pode optair por girair as keys de tempos em tempos, os motivos paira isso podem ser, por exemplo, possivelmente suas keys roubadas e você não sabe. Se o seu KSK for mantido fora de linha e, portanto, é improvável que seja comprometido, não há necessidade real de roteair o KSK.

ZSK (teclas de assinatura de zona):

Paira girair aqueles que você não precisa do seu provedor de domínio, é muito mais fácil roteair. Embora, se os ZSKs também forem mantidos em security, não há necessidade real de roteá-los também.

O seguinte RFC é a fonte de várias recomendações relacionadas ao DNSSEC:

RFC 4641 – DNSSEC Operational Practices, Versão 2

…. um período de efetividade razoável paira os KSKs que tenham registros DS correspondentes na zona pai é da order de 2 décadas ou mais . Ou seja, se não se planeja testair o procedimento de rolagem, a key deve ser efetiva essencialmente paira sempre, e somente rolou em caso de emergência.

DNSSSEC tem o conceito de teclas de assinatura de zona que você teria em seus 30 dias observados (com alguma sobreposition). As keys que você enviou ao registrador são chamadas de keys de assinatura de key e podem ter uma programação de rotation diferente.

Eu acho que você poderia até mesmo criair vários ZSK assinados com seu KSK e, em seguida, manter o KSK offline.

  • Por que existem vários serveres de nomes paira o meu domínio?
  • Qual é o melhor método paira determinair uma conta através da configuration de registro DNS A?
  • Como determinair qual server DNS tem autoridade paira configurair rDNS (registros PTR)?
  • Como requests do server de nomes são solicitados?
  • Utilização excessiva de CPU paira Bind 9.8.1 processs `named`
  • Qual porcentagem de serveres de nomes honrair TTL nos dias de hoje?
  • Uma semana depois de mudair os serveres de nomes, a maioria dos users ainda está ficando no site antigo
  • Domínio CNAME paira outro domínio, mas mantenha diferentes registros SPF paira os dois?
  • O server DNS local é ignorado no Windows