Sie müssen die Schlüssel nicht erneuern. Im Gegensatz zu RRSIG-Einträgen haben DNSSEC-Schlüssel und entsprechende DS-Signaturen kein Ablaufdatum.
KSK (Key Signing Keys):
Sie können sich dafür entscheiden, die Schlüssel von Zeit zu Zeit zu drehen. Gründe dafür können beispielsweise sein, dass möglicherweise Ihre Schlüssel gestohlen wurden und Sie es nicht wissen. Wenn Ihr KSK offline bleibt und daher wahrscheinlich nicht gefährdet wird, muss KSK nicht wirklich gedreht werden.
ZSK (Zone Signing Keys):
Um diese zu drehen, benötigen Sie Ihren Domain-Anbieter nicht. Daher ist es viel einfacher, sie zu drehen. Wenn ZSKs auch sicher genug sind, müssen sie nicht wirklich gedreht werden.
Der folgende RFC ist die Quelle verschiedener DNSSEC-bezogener Empfehlungen:
RFC 4641 - DNSSEC-Betriebspraktiken, Version 2
.... eine angemessene Gültigkeitsdauer für KSKs mit entsprechenden DS-Datensätzen in der übergeordneten Zone liegt in der Größenordnung von 2 Jahrzehnten oder länger . Das heißt, wenn man nicht vorhat, das Rollover-Verfahren zu testen, sollte der Schlüssel im Wesentlichen für immer wirksam sein und nur im Notfall verlängert werden.
DNSSSEC hat das Konzept der Zonensignaturschlüssel, die Sie an Ihren angegebenen 30 Tagen haben würden (mit einigen Überlappungen). Die Schlüssel, die Sie an den Registrar gesendet haben, werden als Schlüsselsignaturschlüssel bezeichnet und können einen anderen Rotationsplan haben.
Ich denke, Sie könnten sogar mehrere ZSKs erstellen, die mit Ihrem KSK signiert sind, und dann den KSK offline halten.
quelle