Ich habe einige Domains mit dnssec eingerichtet. Ich habe die Schlüssel generiert und die Zonen mit Zonensigner von dnssec-tools signiert. Ich weiß, dass ich die Zonen innerhalb von 30 Tagen zurücktreten muss. Aber was ist mit den Schlüsseln, die ich bei meinem Domain-Anbieter hinterlegt habe? Muss ich die Schlüssel auch erneuern? Wenn ja, wie? Auf der Website finden Sie keine Informationen dazu.
Antworten:
Sie müssen die Schlüssel nicht erneuern. Im Gegensatz zu RRSIG-Einträgen haben DNSSEC-Schlüssel und entsprechende DS-Signaturen kein Ablaufdatum.
KSK (Key Signing Keys):
Sie können sich dafür entscheiden, die Schlüssel von Zeit zu Zeit zu drehen. Gründe dafür können beispielsweise sein, dass möglicherweise Ihre Schlüssel gestohlen wurden und Sie es nicht wissen. Wenn Ihr KSK offline bleibt und daher wahrscheinlich nicht gefährdet wird, muss KSK nicht wirklich gedreht werden.
ZSK (Zone Signing Keys):
Um diese zu drehen, benötigen Sie Ihren Domain-Anbieter nicht. Daher ist es viel einfacher, sie zu drehen. Wenn ZSKs auch sicher genug sind, müssen sie nicht wirklich gedreht werden.
Der folgende RFC ist die Quelle verschiedener DNSSEC-bezogener Empfehlungen:
RFC 4641 - DNSSEC-Betriebspraktiken, Version 2
.... eine angemessene Gültigkeitsdauer für KSKs mit entsprechenden DS-Datensätzen in der übergeordneten Zone liegt in der Größenordnung von 2 Jahrzehnten oder länger . Das heißt, wenn man nicht vorhat, das Rollover-Verfahren zu testen, sollte der Schlüssel im Wesentlichen für immer wirksam sein und nur im Notfall verlängert werden.
DNSSSEC hat das Konzept der Zonensignaturschlüssel, die Sie an Ihren angegebenen 30 Tagen haben würden (mit einigen Überlappungen). Die Schlüssel, die Sie an den Registrar gesendet haben, werden als Schlüsselsignaturschlüssel bezeichnet und können einen anderen Rotationsplan haben.
Ich denke, Sie könnten sogar mehrere ZSKs erstellen, die mit Ihrem KSK signiert sind, und dann den KSK offline halten.