Комментарии 6
Как понять из DS-записи дату окончания действия ключа?
Никак. В DS записи нет такой информации.
Где тогда хранится информация о дате когда ключ истекает?
В файле с ключём. Вот обратите внимание на результат генерации:
KSK (cur) 02110 -b 2048 02/22/13 (webnames.ru-signset-00003)
Это именно тот самый наш ключ. В файлах
Kwebnames.ru.+008+02110.key
Kwebnames.ru.+008+02110.private
в текстовом виде есть даты, которые вам помогут.
Кроме этого в webnames.ru.krf можно также найти информацию об истечении ключей.
KSK (cur) 02110 -b 2048 02/22/13 (webnames.ru-signset-00003)
Это именно тот самый наш ключ. В файлах
Kwebnames.ru.+008+02110.key
Kwebnames.ru.+008+02110.private
в текстовом виде есть даты, которые вам помогут.
Кроме этого в webnames.ru.krf можно также найти информацию об истечении ключей.
Как тогда рекурсивный резолвер который производит валидацию подписи поймет что ключ истек?
Кажется начинаю понимать о чём вы…
Срок действия ключа есть в RRSIG записях и они доступны с тех же авторитарных серверов. Вот, например, посмотрите на ответ команды
dig webnames.ru +dnssec -t dnskey ns1.nameself.com.
Но описание алгоритмов работы DNSSEC (в т.ч. ресолвера) может вылиться в отдельную статью. ;) А эта статья немного о другом.
Срок действия ключа есть в RRSIG записях и они доступны с тех же авторитарных серверов. Вот, например, посмотрите на ответ команды
dig webnames.ru +dnssec -t dnskey ns1.nameself.com.
Но описание алгоритмов работы DNSSEC (в т.ч. ресолвера) может вылиться в отдельную статью. ;) А эта статья немного о другом.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DNSSEC на практике у регистратора доменов