Para implementar auto-dnssec maintain nas versões 9.7+ do BIND, adicionamos datas às chaves como metadados. Depois de muita leitura, eu tenho o seguinte e espero que alguém possa confirmar ou corrigir:
$TTL 8h
KSK lifespan == 1y
ZSK lifespan == 30d
Key created published active revoke inactive delete
KSK1 [KSK0 revoke] [active [revoke [inactive
+ lifespan] + 2*TTL] + 2*TTL]
KSK2 [KSK1 revoke [KSK1 revoke]
- 2*TTL]
ZSKs seguiriam um padrão similar.
O requisito mais difícil é o gracioso rollover dos KSKs e ZSKs. Eu entendo que há uma necessidade de sobreposição, enquanto um par de KSKs ou ZSKs é usado simultaneamente, mas eu preciso de ajuda com o tamanho adequado dessas sobreposições.
A duplicação do número de ZSKs (durante a sobreposição) deve dobrar o número de RRSIG registros e, consequentemente, quase o dobro do tamanho das respostas da consulta. Isso é bastante subjetivo; mas esta carga dupla alguma vez se torna significativa?
Presumivelmente, a criação e a exclusão dos registros DS do KSK devem corresponder às datas 'publicadas' e 'excluir' das chaves?