Я установил несколько доменов с dnssec. Я сгенерировал ключи и подписал зоны с помощью zoneigner из dnssec-tools. Я знаю, что должен отказаться от зоны в течение 30 дней. Но что случилось с ключами, которые я передал на хранение провайдеру домена? Мне тоже нужно обновить ключи? Если да, то как? Не могу найти никакой информации об этом на сайте.
Обновлять ключи не требуется. В отличие от записей RRSIG, ключи DNSSEC и соответствующие подписи DS не имеют срока действия.
KSK (Ключи для подписи ключей):
Вы может время от времени выбирайте ротацию ключей; это может быть вызвано, например, тем, что ваши ключи украдены, а вы не знаете. Если ваш KSK находится в автономном режиме и, следовательно, вряд ли будет скомпрометирован, нет никакой реальной необходимости менять KSK.
ZSK (Ключи подписи зоны):
Чтобы чередовать те, которые вам не нужны, ваш провайдер домена, поэтому чередовать намного проще. Хотя, если ZSK также достаточно надежно защищены, нет никакой реальной необходимости их менять.
Следующий RFC является источником различных рекомендаций, связанных с DNSSEC:
RFC 4641 - Практика эксплуатации DNSSEC, версия 2
.... разумный срок действия ключей KSK, имеющих соответствующие записи DS в родительской зоне, составляет порядка 2 десятилетия или дольше. То есть, если кто-то не планирует тестировать процедуру опрокидывания, ключ должен действовать практически вечно и только в случае крайней необходимости.
DNSSSEC имеет концепцию ключей подписи зоны, которые у вас будут на указанные 30 дней (с некоторым перекрытием). Эти ключи, которые вы отправили регистратору, называются ключами для подписи ключей и могут иметь другой график ротации.
Я думаю, вы даже можете создать несколько ZSK, подписанных вашим KSK, а затем оставить KSK в автономном режиме.