Я начал играть с DNSSEC в моем личном домене, и я использую OpenDNSSEC для выполнения подписи и обслуживания ключей; У меня только статическая зона, поэтому OpenDNSSEC легко подойдет.
Просто чтобы поиграть с вещами, я решил сделать ручную смену ключей для своих KSK и ZSK. Время, необходимое для перехода ZSK из состояния отставки в состояние мертвого, составляет две недели. Это огромное количество времени и кажется совершенно ненужным, учитывая, что большинство TTL составляет менее 48 часов, а задержки распространения не более 24 часов.
Я читал документ "Руководство по передовой практике развертывания DNSSEC", где они рекомендуют эту двухнедельную отсрочку, но, похоже, не дают оправдания для задержки.
Что дает?
Из статьи:
Продолжительность перехода из одного состояния в другое зависит от времени жизни записей в зоне, времени, необходимого для доставки зон на внешние серверы, и времени дрожания часов (Интернет - черновик, соображения ключевого времени DNSSEC).
и
Рекомендуемый период, в течение которого KSK удаляется, прежде чем он будет удален из зоны (время выхода на пенсию), составляет четыре недели. Для ZSK рекомендуемое время введения составляет четыре дня, а время выхода на пенсию - две недели.
Так как случилось так, что один из авторов (Патрик В.) указанного документа сидит метрах в десяти, я подошел и спросил его. И оказывается, что это старый документ (он датирован мартом 2010 г.) и в основном уже не актуален. Вы можете смело игнорировать недельное время. Краткий ответ на вопрос, сколько времени уйти на пенсию, - это «вдвое больше TTL и, возможно, небольшая маржа». Длинный ответ этот проект IETF.