Если DNSSec-подписанный сон внезапно заменяет оба ZSK (и все записи, относящиеся к старому ZSK), и в то же время сохраняет KSK (на которые ссылается вышестоящий сервер). Это вызовет какие-то проблемы?
Да. Вы, кажется, забываете, что записи DNS имеют TTL. Таким образом, рекурсивные распознаватели будут/могут иметь старые данные ключа в своем кеше (т. DNSKEY записи со списком старых ZSK) и, следовательно, ожидают, например, найти с ним подписи. "Вдруг" никогда не перепутается с DNS. Никакие изменения не должны производиться без льготных периодов.
Из того, что я понял, невозможно перенести ZSK для зоны, но можно перенести KSK.
Мне непонятно, что вы подразумеваете под "мигрировать" туда. ZSK по определению часто меняются, например, один раз в месяц или каждые 2 месяца, но с перекрытием.
Несмотря ни на что, у вас всегда есть этот уродливый метод изменить ситуацию, который работает, но открывает окно без безопасности:
- удалить DS у родителя
- подождите «достаточно» времени (по крайней мере,
ДС ТТЛ и еще кое-что)
- теперь ваша зона больше не защищена DNSSEC, вы можете мутировать ее содержимое по своему желанию, в том числе о ключах
- как только вы достигли своей новой желаемой конфигурации и проверили, что DNSSEC в порядке, смоделировав конкретный
ДС у родителя, то вы можете поставить это ДС запись обратно у родителя.
Конечно, если у вас есть какой-либо мониторинг в вашей зоне, который ожидает DNSSEC, он будет кричать во время процедуры (или, по крайней мере, тоже хороший тест для мониторинга).
