Il server DNS è libero di farlo tutte le volte che vuole / ha bisogno: le firme liftetime sono un problema di politica, coperto da un DPS (Dichiarazione politica DNSSEC). Puoi trovare esempi e buone pratiche, ma se un server vuole creare firme anche al volo, può (vedi link " Nella modalità di registrazione in tempo reale di PowerDNS, le firme, come pubblicate tramite i record RRSIG, sono calcolate al volo e pesantemente memorizzate nella cache. "o link " L'implementazione DNSSEC di Cloudflare sfrutta la generazione di firme efficienti di ECDSA per firmare i record DNSSEC al volo. ")
Le firme nei record RRSIG hanno due date: un inizio di validità e una fine.
Questo non ha nulla a che fare con il valore TTL, né le modifiche di zona (le firme cambieranno anche se la zona non cambia).
Vedi ad esempio in Un quadro per le politiche DNSSEC e le istruzioni pratiche DNSSEC sezione 4.6.5. "Durata della firma e frequenza di nuova firma" che impone un buon documento politico:
This subcomponent describes the life cycle of the Resource Record
Signature (RRSIG) record.
Ora diamo un'occhiata ad alcuni DPS pubblicati:
17.6 Signature Life-time and Resigning Frequency:
The KSK signatures of the TLD zone DNSKEY RRset will have a validity period of 40 days.
The ZSK signatures of the TLD zone authoritative data will have a validity period of 10 days
(TTL predefinito: 86400 alias 1 giorno)
We re-sign our zones daily with a signature lifetime of 30 days.
(TTL predefinito: 3600 alias 1 ora)
RR sets are signed with ZSKs with a validity period of fourteen days and are resigned every two days.
Zone file generation and the signing of new records takes place every hour.
(default TTL: 3600s)
The signing practice of the COM Zone is divided into quarterly continuous time cycles of approximately 90 days. Time cycles begin at the following dates each year:
January 15th
April 15th
July 15th
October 15th
The time cycle will never be less than 90 days, except in emergency situations (in which a key has been compromised) or if Verisign decides to begin using different key lengths.
(TTL predefinito: 172800s alias 2 giorni)
ecc.