Názor k článku Údržba DNSSEC klíčů od Adam Tkac - Revokace klicu neni zas az tak nutna. Pokud...

Revokace klicu neni zas az tak nutna. Pokud je podpisovy klic (KSK) kompromitovan, spravce domeny ho muze jednoduse "zahodit" a podepsat domenu novym klicem. Pote musi uplynout cas, kdy vyprsi TTL stareho klice a starych podpisu v cache resolveru (obvykle 1 den). Pote se bude resolver znovu dotazovat autoritativniho serveru na KSK a pouzije novy. Zde samozrejme nastane problem, protoze se novy KSK nenachazi mezi tzv. "trust anchors" resolveru. Resolver tedy bude vracet servfail a domena bude nedostupna. Administrator resolveru ho pote updatuje.

Lepsi reseni, ktere zatim neni siroce implementovano, je popsano v RFC 5011 (Automated Updates of DNS Security (DNSSEC) Trust Anchors). Zde je detailne rozebrana problematika aktualizace/revokace KSK.