web-dev-qa-db-ja.com

DNSSECゾーンを最新の状態に保つ必要がありますか?

NSD DNSサーバーとldnsユーティリティを使用してDNSSECをセットアップする方法について次のガイドを見つけました: https://www.digitalocean.com/community/tutorials/how-to-set-up-dnssec-on- an-nsd-nameserver-on-ubuntu-14-04

基本的に、次の手順を提供します。

  1. Ldns-keygenを使用してZSKとKSKを生成します
  2. 上記のキーでldns-signzoneを使用してゾーンに署名します
  3. NSDに署名されたバージョンのゾーンファイルをポイントし、構成を再読み込みします
  4. レジストラパネルにサブジェクトのドメインのエントリをDS)書き込みます
  5. ゾーン(署名されていないファイル)を変更するときは常に、提供されたスクリプト(dnszonesigner)を使用してください

そして、これはすべて正常に機能します。ただし、「署名ゾーンを最新の状態に保つ方法について考えたことはありますか?RRSIGは期限切れになり、時間内に更新する必要があります。つまり、署名ゾーンは時々辞任する必要があります。」というコメントがあります。

正しい発言ですか? DNSSECゾーンが停止しているという情報がどこにも見つかりません。正しければ、cron経由でdnszonesignerスクリプトを実行する必要がありますか?そうであれば、どのくらいの頻度で実行する必要がありますか?これを行わないとどうなりますか(いつ)? Google Public DNSなどのDNSSEC対応のリゾルバーは、ゾーン内のレコードに対して引き続き正しい回答を提供しますか?

1
gnidorah

以下のリストによると、データが同じであっても、月に1つは辞任する必要があります。

dnssec-tools.org

0
Gravy