Recomendações para metadados de chave DNSSEC

2

Para implementar auto-dnssec maintain nas versões 9.7+ do BIND, adicionamos datas às chaves como metadados. Depois de muita leitura, eu tenho o seguinte e espero que alguém possa confirmar ou corrigir:

$TTL 8h
KSK lifespan == 1y
ZSK lifespan == 30d

Key    created  published    active        revoke       inactive   delete
KSK1                         [KSK0 revoke] [active      [revoke    [inactive
                                            + lifespan]  + 2*TTL]   + 2*TTL]
KSK2            [KSK1 revoke [KSK1 revoke]
                 - 2*TTL]

ZSKs seguiriam um padrão similar.

O requisito mais difícil é o gracioso rollover dos KSKs e ZSKs. Eu entendo que há uma necessidade de sobreposição, enquanto um par de KSKs ou ZSKs é usado simultaneamente, mas eu preciso de ajuda com o tamanho adequado dessas sobreposições.

A duplicação do número de ZSKs (durante a sobreposição) deve dobrar o número de RRSIG registros e, consequentemente, quase o dobro do tamanho das respostas da consulta. Isso é bastante subjetivo; mas esta carga dupla alguma vez se torna significativa?

Presumivelmente, a criação e a exclusão dos registros DS do KSK devem corresponder às datas 'publicadas' e 'excluir' das chaves?

    
por ericx 27.04.2015 / 23:36

0 respostas