在 BIND 9.9.0之後所提供的新功能中, 有一個叫 inline-sign 的功能, 能夠讓使用者透過自行設定時間的方式, 來達到自動簽署的模式, 但在 ICANN 所建議的 RFC 中, 建議每個月更換一次DNSKEY, 雖然此考量是因為安全因素, 但許多管理者所面臨的問題是, 因其他公務而導致無法準時完成Key Rollover的動作, 即使使用了dnssec-keygen 的時間選項(-P/-A/-I/-D), 在兩三個月之後依舊無法記得之前的 Key 使用狀況, 尤其是金鑰的時間若沒有正確掌控, 可能會造成DNS解析錯誤的問題, 如何在方便度與安全之間取得平衡點, 讓管理者非常的頭痛, 在此我們建議你可以採用以下做法, 過去我們在教育訓練上都是建議您先產生好每個月的 DNSKEY, 另外有一種很方便的做法, 在每次使用 dnssec-keygen 產生 DNSKEY 的時候, 先產生一隻沒有時間限制的KEY, 讓 BIND 無限制的使用, 若管理者有時間, 則每個月再產生新的 DNSKEY(同樣不要設定廢止時間), 再利用 dnssec-settime 來調整舊的 KEY 將時間廢止, 若是一時忘記更換, 也不會因為 DNSKEY 的過期造成解析失效, 但提醒您若是更換 KSK 的話, 要記得更新您的 DS 記錄喔!
|