Comecei a jogar com o DNSSEC no meu domínio pessoal e estou usando o OpenDNSSEC para realizar assinaturas e manutenção de chaves; Eu só tenho uma zona estática, então o OpenDNSSEC é um ajuste fácil.
Apenas para brincar com as coisas, eu decidi fazer um rollover de chave manual para o meu KSK e ZSK. O tempo que o ZSK levará para mudar de aposentado para morto é de duas semanas. Isso é uma enorme quantidade de tempo, e parece completamente desnecessário, dado que a maioria dos TTLs é inferior a 48 horas e atrasos de propagação não são mais do que 24 horas.
Estive lendo o documento " Good Guia de Práticas para Implantação do DNSSEC ", onde eles recomendam esse atraso de duas semanas, mas não parecem justificar o atraso.
O que dá?
Do jornal:
The duration of the transition from one state to the next is a function of the lifetime of the records in a zone, the time required to deliver the zones to the external servers and clock jitter time (Internet - Draft, DNSSEC Key Timing Considerations ) .
e
The recommended period during which a KSK is retired before it is removed from the zone ( retirement time ) is four weeks. For the ZSK , the recommended introduction time is four days and the retirement time is two weeks.
Já que acontece que um dos autores (Patrik W) do documento referenciado está sentado a cerca de dez metros de distância, eu fui e perguntei a ele. E o que acontece é que o documento é antigo (data de março de 2010) e basicamente não é mais relevante. Você pode ignorar com segurança os tempos de uma semana. A resposta curta para quanto tempo uma aposentadoria tem é "o dobro do TTL e talvez um pouco de margem". A resposta longa é este rascunho da IETF .
Tags domain-name-system dnssec