Eu configurei alguns domínios com o dnssec. Gerei as chaves e assinei as zonas com o zonasigner do dnssec-tools. Sei que devo renunciar às zonas dentro de 30 dias. Mas o que há com as chaves que eu depositei no meu provedor de domínio? Também preciso renovar as chaves? Se sim, como? Não é possível encontrar nenhuma informação sobre isso no site.
Respostas:
Você não é obrigado a renovar as chaves. Diferentemente dos registros RRSIG, as chaves DNSSEC e as assinaturas correspondentes do DS não têm data de validade.
KSK (chaves de assinatura de chave):
Você pode optar por girar as chaves de tempos em tempos, os motivos para isso podem ser, por exemplo, que possivelmente suas chaves foram roubadas e você não sabe. Se o seu KSK for mantido offline e, portanto, é improvável que seja comprometido, não há necessidade real de girar o KSK.
ZSK (Chaves de assinatura de zona):
Para alternar aqueles que você não precisa do seu provedor de domínio, é muito mais fácil alternar. Embora os ZSKs também sejam mantidos suficientemente seguros, não há necessidade real de rotacioná-los também.
A seguinte RFC é a fonte de várias recomendações relacionadas ao DNSSEC:
RFC 4641 - Práticas Operacionais DNSSEC, Versão 2
.... um período de efetividade razoável para os KSKs que possuem registros DS correspondentes na zona pai é da ordem de 2 décadas ou mais . Ou seja, se não se planeja testar o procedimento de rolagem, a chave deve ser efetiva essencialmente para sempre e rolada apenas em caso de emergência.
DNSSSEC tem o conceito de chaves de assinatura de zona que você teria nos seus 30 dias anotados (com alguma sobreposição). As chaves que você enviou ao registrador são chamadas de Chaves de assinatura de chaves e podem ter uma programação de rotação diferente.
Eu acho que você pode criar vários ZSKs assinados com o seu KSK e depois mantê-lo offline.