[4 minuty čtení] Tento příspěvek píšu trochu smutně se dívaje přes internet na ceremonii podepisování klíče v americkém městečku El Segundo poblíže Los Angeles. A proč jsem smutný? Začnu od začátku. Technologie DNSSEC přinesla do starobylého protokolu DNS zcela nové věci. Hlavní motivací bylo pochopitelně zvýšení bezpečnosti, ale taková akce s sebou pochopitelně vždy přináší nutnost dodržovat nějaké nové rituály. Asi jako že přidáním zámku do vnějších dveří pochopitelně zvýšíte bezpečnost vašeho domu. Ale musíte se prostě naučit pamatovat na to, že máte mít u sebe klíče, pokud znovu vycházíte. Podobně DNSSEC zavedením kryptografických klíčů vyžaduje, aby se o ně správci starali. V případě DNSSECu jsou dokonce hned dva druhy podpisových klíčů. První druh je jakýsi hlavní klíč podepisující další klíče, neboli Key Signing Key (KSK). A tím druhým jsou klíče přímo podepisující zónu, neboli Zone Signing Key (ZSK). Myšlenka stojící za tímto rozdělením je poměrně jednoduchá, KSK se příliš často nemění a obvykle bývá kryptograficky co nejsilnější, zatímco ZSK mohou být trochu slabší, ale zase mají výrazně kratší časovou planost.