我需要更新存放在域名提供商处的密钥吗？

我已经使用dnssec设置了一些域。我生成了密钥，并使用dnssec-tools中的zonesigner对区域进行了签名。我知道我必须在30天内辞职。但是我存放在域提供商处的密钥是怎么回事？我也需要更新密钥吗？如果是，怎么办？在网站上找不到有关此的任何信息。

您不需要续订密钥。与RRSIG记录不同，DNSSEC密钥和相应的DS签名没有到期日期。

KSK（密钥签名密钥）：

您可能会选择不时旋转钥匙，例如这样做的原因可能是您的钥匙被盗了，而您却不知道。如果您的KSK保持脱机状态，因此不太可能受到损害，则无需轮流使用KSK。

ZSK（区域签名密钥）：

要轮换您不需要的域名提供商，因此轮换要容易得多。尽管如果ZSK也保持足够的安全性，则实际上也不需要旋转它们。

以下RFC是与DNSSEC相关的各种建议的来源：

RFC 4641-DNSSEC操作规范，版本2

....在母区有相应DS记录的KSK的合理生效期为2个十年或更长。也就是说，如果不打算测试过渡过程，则该密钥应基本上永远有效，并且仅在紧急情况下才可以过渡。

DNSSSEC具有区域签名密钥的概念，在您记下的30天（有些重叠）中，您会拥有该签名。您提交给注册服务商的密钥称为密钥签名密钥，并且可以具有不同的轮换时间表。

我认为您甚至可以用您的KSK创建多个ZSK签名，然后使KSK脱机。