J'ai commencé à jouer avec les DNSSEC sur mon domaine personnel et j'utilise OpenDNSSEC pour effectuer la signature et la maintenance des clés ; je n'ai qu'une zone statique, donc OpenDNSSEC est facile à adapter.
Juste pour jouer avec les choses, j'ai décidé de faire un retournement de clé manuel pour mes KSK et ZSK. Le temps qu'il va falloir au ZSK pour passer de retraité à mort est de deux semaines. C'est un temps énorme, qui semble complètement inutile, étant donné que la plupart des TTL sont inférieurs à 48 heures et que les délais de propagation ne dépassent pas 24 heures.
J'ai lu le document " Guide de bonnes pratiques pour le déploiement de DNSSEC "Ils recommandent ce délai de deux semaines, mais ne semblent pas donner de justification pour ce délai.
Qu'est-ce qui se passe ?
Du journal :
La durée de la transition d'un état à l'autre est un fonction de la durée de vie des enregistrements dans une zone, du temps nécessaire pour livrer les zones aux serveurs externes et de la gigue de l'horloge (Internet - Draft, DNSSEC Key Timing Considerations ). (Internet - Draft, DNSSEC Key Timing Considerations ) .
und
La période recommandée pendant laquelle un KSK est mis à la retraite avant d'être avant d'être retiré de la zone (temps de retrait) est de quatre semaines. Pour le ZSK , le temps d'introduction recommandé est de quatre jours et le temps de retrait est de deux semaines.
