Недавно я добавлял DNSSEC в несколько своих доменов и заметил, что на каждом из них ключевой тег DNSSEC всегда 2371. Какой смысл просить об этом, если он никогда не меняется? (или меняется? Когда?), и почему именно 2371?
Ваш вопрос непонятен. Кто об этом просит?
То, что вы называете "ключевым тегом", - это то, что RRSIG записи, чтобы определить, какой ключ был использован для подписи записей и, следовательно, произвести это RRSIG записи, см. RFC 4034 §3. Обычно в определенный момент времени в зоне существует только один ключ подписи зоны (ZSK), поэтому все записи RRSIG действительно будут иметь один и тот же ключевой тег.
Тег ключа тот же ... если вы используете тот же ключ. Тег ключа или идентификатор ключа ссылаются на ключ. Это не очень хорошая ссылка, потому что есть коллизии (пространство мало по определению 2 байта, поэтому 65536 значений теоретически, на практике меньше половины фактически из-за ошибок в алгоритме и реализациях), это просто для жизни системных администраторов Полегче.
Ваша ценность, 2371 это всего лишь одно случайное значение среди других, оно не имеет конкретного значения, но тогда вы не даете абсолютно никакого контекста в своем вопросе ... о каких областях вы говорите? Вы являетесь официальным оператором серверов имен или просто смотрите на чужие домены? вы установили DPS, чтобы понять, что такое ключи, их ротация, подписи и т. д.?
Вы можете настроить несколько доменов с одним и тем же ключом, но это не рекомендуется, так как тогда все ваши домены разделят судьбу, нужно будет изменить соответствующие записи DS одновременно (если ключ - KSK) и т. Д.
Даже для одного домена ваш ZSK должен регулярно меняться (обычно каждый месяц или два месяца - частые значения), а затем новый RRSIG появятся записи, ссылающиеся на новый ключ, следовательно, с новым ключевым тегом.
Единственные ключевые теги (идентификаторы), которые редко меняются, - это теги в корневой зоне. Они никогда не меняются, они меняются редко. Они изменились год назад. Но они, вероятно, не скоро снова изменятся. Их сейчас 22545 и 20326:
$ dig +multi . DNSKEY
; <<>> DiG 9.11.5-P1-1ubuntu2.5-Ubuntu <<>> +multi . DNSKEY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41551
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;. IN DNSKEY
;; ANSWER SECTION:
. 22845 IN DNSKEY 256 3 8 (
AwEAAbPwrxwtOMENWvblQbUFwBllR7ZtXsu9rg/Ldykl
Ks9gU2GQTeOc59XjhuAPZ4WrT09z6YPL+vzIIJqnG3Hi
ru7hFUQ4pH0qsLNxrsuZrZYmXAKoVa9SXL1Ap0LygwrI
ugEk1G4v7Rk/Alt1jLUIE+ZymGtSEhIuGQdXrEmj3ffz
XY13H42X4Ja3vJTn/WIQOXY7vwHXGDypSh9j0Tt0hknF
1yVJCrIpfkhFWihMKNdMzMprD4bV+PDLRA5YSn3OPIeU
nRn9qBUCN11LXQKb+W3Jg+m/5xQRQJzJ/qXgDh1+aN+M
c9AstP29Y/ZLFmF6cKtL2zoUMN5I5QymeSkJJzc=
) ; ZSK; alg = RSASHA256 ; key id = 22545
. 22845 IN DNSKEY 257 3 8 (
AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTO
iW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN
7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5
LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8
efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7
pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLY
A4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws
9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=
) ; KSK; alg = RSASHA256 ; key id = 20326
Если вы запросите записи RRSIG в этой зоне, вы найдете ссылку на один из этих идентификаторов:
$ dig com. NS +dnssec +multi @a.root-servers.net
[...]
com. 86400 IN RRSIG DS 8 1 86400 (
20191113170000 20191031160000 22545 .
UEC85qqrUaAML/8TSKs6971lvQAI0jCFAEamLCV2e5N/
wnnY2xsUF3TEWBfBB7VByxpRzzB87NuWNGh9jf6wlx7p
QQ/FidKxV+lk3LGDb6aqfM9ACRKlSm6xQb9k4Y21A2aO
lDsHXdfJaKsUvw7AHS6WqBDBsh6AKuDCL5zm/E03UP2A
8cDhVr1yNnvcY48il3JLAYsSMRviID/Q6lND446za6H3
w2LiqaMoXg4s/pVj0uV8Sc9G4csWesgXXthQSy3nBe77
DYca7vt89uN2eYFlTwTnCVYTkkNC67L0B95NRqRhMISA
MgdoFCcfwAgPpWeWLEcd72EuJ/IWBWBSgA== )
В 22545 - это ключевой тег или эта запись RRSIG, то есть ключ, используемый для ее создания.