[GTER] DNSSEC e RRSIGs lifetime

[Rafael Dantas Justo]

On Thu, Jul 26, 2007 at 09:23:02AM -0300, c0re dumped wrote:
> Olá a todos da lista.
> 
> Nossa empresa está em processo de instalação do DNSSEC. Tenho
> procurado seguir os tutoriais disponivies no registro.br, além dos
> tutoriais da NLlabs e do RIPE, mas surgiram algumas dúvidas que
> acredito, com a ajuda de vocês, poderei resolver:
> 
> 1 - Se eu precisar alterar um endereço IP de um ponteiro tenho que
> alterá-lo no db.zona.br e depois reassinar a zona, para geração do
> .signed com as novas informações correto ?
> 

Correto.

> 2 - Os RRSIGs tem um lifetime de 30 dias por padrão. Supondo que tenha
> assinado a zona pela primeira vez no dia 01/08 e no dia 15/08 tenha
> ocorrido uma mudança de um endereço IP para um determinado nome,
> quando for reassinar a zona, o lifetime dos RRSIGs será alterado ?
> 

Sim. O "lifetime" dos RRSIGs eh sempre renovado ao se reassinar a zona.

> 3 - Tenho que ficar recalculando os dias que faltam para o lifetime
> expirar e colocá-los como parâmetro no comando dnssec-signzone ? Ou
> basta dar o comando direto e o ele já lê no nas KSK ou ZSK a data de
> ciração ?
> 

Eh necessario deixar explicito no comando dnssec-signzone o "lifetime"                   
(opcao "-e") caso nao deseje utilizar o padrao. O dnssec-signzone nao
recalcula a partir de seu ultimo "lifetime".

> 4 - E se quiser uma período diferente de 30 dias, tenho que ficar
> recalculando o número de dias que faltam para os RRSIGs expirarem ?
> 

Sim. Eh possivel utilizar no comando dnssec-signzone a opcao "-e now+N",
onde N eh a quantidade de segundos a partir da data atual que as
assinaturas serao validas.

> 
> []'s
> 
> -- 
> No stupid signatures here.
> 
> http://www.webcrunchers.com/crunch/
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

-- 
--
Atenciosamente,
Rafael Justo
Engenheiro de Software
rafael at registro.br
Registro .BR - Engenharia