Рекомендации по ключевым метаданным DNSSEC

Для того, чтобы реализовать auto-dnssec maintain в версиях 9.7+ BIND в ключи добавляются даты в качестве метаданных. После долгих чтений я пришел к следующему и надеюсь, что кто-то может подтвердить или исправить это:

$TTL 8h
KSK lifespan == 1y
ZSK lifespan == 30d

Key    created  published    active        revoke       inactive   delete
KSK1                         [KSK0 revoke] [active      [revoke    [inactive
                                            + lifespan]  + 2*TTL]   + 2*TTL]
KSK2            [KSK1 revoke [KSK1 revoke]
                 - 2*TTL]

ЗСК будут следовать аналогичной схеме.

Самым сложным требованием является изящное переключение клавиш KSK и ZSK. Я понимаю, что существует необходимость в перекрытии, когда пара KSK или ZSK используется одновременно, но мне нужна помощь с правильным размером этих перекрытий.

Удвоение количества ZSK (во время перекрытия) должно удвоить число RRSIG записи и, следовательно, почти в два раза размер ответов на запросы. Это довольно субъективно; но становится ли эта двойная нагрузка когда-либо существенной?

Предположительно, создание и удаление записей KSK DS должны соответствовать датам "опубликования" и "удаления" ключей?

2

dnssec keys metadata

Источник

ericx 27 апр '15 в 21:36

0 ответов

Другие вопросы по тегам dnssec keys metadata