Для реализации auto-dnssec maintain в версиях 9.7+ BIND к ключам добавляются даты как метаданные. После долгого чтения я пришел к следующему и надеюсь, что кто-то сможет подтвердить или исправить это:
$TTL 8h
KSK lifespan == 1y
ZSK lifespan == 30d
Key created published active revoke inactive delete
KSK1 [KSK0 revoke] [active [revoke [inactive
+ lifespan] + 2*TTL] + 2*TTL]
KSK2 [KSK1 revoke [KSK1 revoke]
- 2*TTL]
ZSK будут следовать аналогичной схеме.
Самым сложным требованием является плавное обновление ключей KSK и ZSK. Я понимаю, что существует необходимость в перекрытии при одновременном использовании пары ключей KSK или ZSK, но мне нужна помощь с правильным размером этих перекрытий.
Удвоение количества ZSK (во время перекрытия) должно удвоить количество RRSIG записей и, следовательно, почти вдвое больше ответов на запросы. Это довольно субъективно; но станет ли когда-нибудь эта двойная нагрузка значительной?
Предположительно, создание и удаление записей KSK DS должно соответствовать датам «публикации» и «удаления» ключей?