Pokud jsem to správně pochopil tak jediná výhoda dvou klíčů je, že při změně ZSK nemusím otravovat svého providera. Tudíž můžu použít kratší ZSK, který je potřeba častěji měnit ale na druhou stranu nezabere mi tolik času podepsat i velkou doménu.
Co když ale jsem v situaci, že mám doménu s několika málo záznamy a navíc je velice nepravděpodobné, že by se měnily? Byl by nějaký problém použít v pouze jeden klíč (aspoň 1024b) na podpis všech záznamů? Teoreticky to podle mě možné je. Jediné co mě mate je příznak klíče (257 je KSK a 256 je ZSK). Jaký příznak mám použít v tomto případě?
Přijde mi, že dva klíče se vyplatí jen pro velké domény, které se často mění. V mém případě nevidím žádný přínos.
Názor k článku
Údržba DNSSEC klíčů
