個人ドメインでDNSSECを使い始め、OpenDNSSECを使用して署名とキーのメンテナンスを実行しています。私は静的ゾーンしかないので、OpenDNSSECは簡単に適合します。
物事をいじくり回すために、KSKとZSKの手動キーロールオーバーを行うことにしました。 ZSKがリタイアからデッドに移行するのにかかる時間は2週間です。ほとんどのTTLが48時間未満であり、伝搬遅延が24時間以内であることを考えると、これは膨大な時間であり、完全に不要のようです。
私はドキュメント「 DNSSECを展開するためのグッドプラクティスガイド 」を読んでいます。ここでは、この2週間の遅延を推奨していますが、遅延の正当性を示していないようです。
何が得られますか?
論文から:
ある状態から次の状態への遷移の期間は、ゾーン内のレコードの存続期間、ゾーンを外部サーバーに配信するために必要な時間、およびクロックジッター時間の関数です(インターネット-ドラフト、DNSSECキータイミングの考慮事項)。
そして
KSKがゾーンから削除される前にリタイアする推奨期間(リタイア時間)は4週間です。 ZSKの場合、推奨される導入期間は4日、廃止期間は2週間です。
たまたま参考文献の著者の一人(パトリックW)が10メートルほど離れたところに座っているので、行って聞いてみました。そして、そのドキュメントは古く(2010年3月付け)、基本的に関連性がなくなっていることがわかりました。 1週間の時間を無視しても問題ありません。退職期間の長さに対する簡単な答えは「TTLの2倍、おそらく少しのマージン」」です。長い答えは このIETFドラフト です。