domain-name-system – 我是否需要续订我存放在域名提供商处的密钥？

概述我已经用dnssec建立了一些域名.我生成了密钥并使用dnssec-tools中的zonesigner对区域进行了签名.我知道我必须在30天内辞职.但是我存放在我的域名提供商处的密钥是怎么回事？我是否还需要更新钥匙？如果有,怎么样？在网站上找不到任何相关信息. 您无需续订密钥.与RRSIG记录不同,DNSSEC密钥和相应的DS签名没有到期日期. KSK(密钥签名密钥)： 您可以选择不时地旋转密钥, 我已经用dnssec建立了一些域名.我生成了密钥并使用dnssec-tools中的zonesigner对区域进行了签名.我知道我必须在30天内辞职.但是我存放在我的域名提供商处的密钥是怎么回事？我是否还需要更新钥匙？如果有,怎么样？在网站上找不到任何相关信息.解决方法 您无需续订密钥.与RRSIG记录不同,DNSSEC密钥和相应的DS签名没有到期日期.

KSK(密钥签名密钥)：

您可以选择不时地旋转密钥,这样做的原因可能是您的密钥可能被盗而您不知道.如果您的KSK保持离线状态,因此不太可能受到损害,则无需旋转KSK.

ZSK(区域签名密钥)：

要轮换那些您不需要域名提供者的内容,因此旋转起来要容易得多.虽然如果ZSK也足够安全,那么也不需要旋转它们.

以下RFC是各种DNSSEC相关建议的来源：

RFC 4641 – DNSSEC Operational Practices,Version 2

…. a reasonable effectivity period for KSKs that have corresponding
DS records in the parent zone is of the order of 2 decades or longer. That is,if one does not plan to test the rollover procedure,the key should be effective essentially forever,and only rolled over in case of emergency.

总结

以上是内存溢出为你收集整理的domain-name-system – 我是否需要续订我存放在域名提供商处的密钥？全部内容，希望文章能够帮你解决domain-name-system – 我是否需要续订我存放在域名提供商处的密钥？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。