Nếu một đầu dò có chữ ký DNSSec đột nhiên thay thế cả ZSK (và tất cả các bản ghi liên quan đến ZSK cũ), đồng thời giữ lại các KSK (được tham chiếu bởi máy chủ ngược dòng). Nó sẽ gây ra bất kỳ rắc rối?
Đúng. Bạn dường như quên rằng các bản ghi DNS có TTL. Vì vậy, các trình phân giải đệ quy sẽ/có thể có dữ liệu khóa cũ trong bộ đệm của chúng (các DNSKEY các bản ghi liệt kê các ZSK cũ), và do đó, chẳng hạn, mong đợi tìm thấy chữ ký với nó. "Đột nhiên" không bao giờ trộn lẫn ý chí với DNS. Không có thay đổi nào được thực hiện mà không có thời gian gia hạn.
Từ những gì tôi đã thu thập được, không thể di chuyển các ZSK cho một vùng, nhưng có thể di chuyển các KSK.
Tôi không rõ ý của bạn khi "di cư" ở đó là gì. Theo định nghĩa, các ZSK được luân phiên thường xuyên, chẳng hạn như một lần mỗi tháng hoặc 2 tháng một lần, nhưng có sự chồng chéo.
Dù thế nào đi chăng nữa, bạn luôn có phương pháp xấu xí này để thay đổi mọi thứ, phương pháp này hoạt động nhưng mở ra một cửa sổ không bảo mật:
- loại bỏ DS ở cha mẹ
- đợi "đủ" thời gian (ít nhất
ĐS TTL và một số nữa)
- bây giờ vùng của bạn không còn được bảo mật DNSSEC nữa, bạn có thể thay đổi nội dung của nó theo ý muốn của mình, bao gồm cả về các khóa
- khi bạn đã đạt đến cấu hình mong muốn mới của mình và bạn đã kiểm tra xem DNSSEC có ổn không bằng cách mô phỏng một cấu hình cụ thể
ĐS ở cha mẹ, sau đó bạn có thể đặt nó ĐS ghi lại tại cha mẹ.
Tất nhiên, nếu bạn có bất kỳ hoạt động giám sát nào trong khu vực của mình mong đợi DNSSEC, thì nó sẽ báo lỗi trong quá trình thực hiện (hoặc ít nhất cũng là thử nghiệm tốt cho quá trình giám sát).
