Christian Felsing schrieb: > ist halb so schlimm, man muss halt einmal die ganzen Keys erzeugen und > solange die nicht kompromittiert sind, kann man die beliebig lange > verwenden. Wenn der KSK kompromittiert ist, dann wird es ekelig, analog > wie ein kompromittierter CA Key. Bei allen Domains muss dann der KSK neu > registriert werden.
Das wurde bei Deiner foo-Domain nicht so deutlich: Bedeutet der CA-Vergleich, daß der KSK ein globaler Key ist, der vom Nameserver zum Signieren der ZSKs verwendet wird? Gibt man dann ausschließlich den KSK public key an alle Registries, bei denen man Domains hat und die DNSSEC unterstützen? Ich bekomme das ganze noch nicht zusammen: Wer führt beim DNS-Request die Validierung der signierten Zone durch, und aufgrund welches Schlüsselmaterials? -martin
signature.asc
Description: OpenPGP digital signature
-- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
