DNSSEC и два ключа KSK ZSK.

0

1

А можно пояснить, для чего придумали два ключа, один которым подписывается записи зоны и второй, которым подписывается ключ, которым подписываются записи зоны? Почему отказались от размещения у вешестоящего сервера открытой части ключа ZSK, то есть не использовать KSK? Пока на ум приходит только ситуация, когда ZSK очень часто меняется, и что бы постоянно не беспокоить вышестоящего провайдера обновлением ключей.

Ссылка

←	Как обновить Asterisk и FreePBX установленных с помощью source пакетов?

Samba + Windows 10

→

https://www.cloudflare.com/dns/dnssec/how-dnssec-works/
Note that any change in the KSK also requires a change in the parent zone’s DS record. Changing the DS record is a multi-step process that can end up breaking the zone if it’s performed incorrectly. First, the parent needs to add the new DS record, then they need to wait until the TTL for the original DS record to expire before removing it. This is why it’s much easier to swap out zone-signing keys than key-signing keys.

anonymous_sama ★★★★★
(29.10.16 10:49:29 MSK)

Ответ на: комментарий от anonymous_sama 29.10.16 10:49:29 MSK

И? По какой причине у меня, как у владельца домена второго уровня, ключи ZSK будут меняться чаще, чем ключи KSK?

Viper ★
(29.10.16 11:18:27 MSK) автор топика

Ответ на: комментарий от Viper 29.10.16 11:18:27 MSK

Зависит от твоей внутренней политики. Некоторые рекомендуют менять ZSK каждые три месяца, а KSK каждый год.

anonymous_sama ★★★★★
(29.10.16 12:28:56 MSK)

Ответ на: комментарий от anonymous_sama 29.10.16 12:28:56 MSK

Ну это возможно, учитывая, что ZSK делают более коротким. Но что мешает зоны подписывать KSK и так же продолжать раз в год его менять.

Viper ★
(29.10.16 14:01:44 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как обновить Asterisk и FreePBX установленных с помощью source пакетов?

Admin

Samba + Windows 10

→

Похожие темы