Supponendo che sto amministrando una zona DNS e gestisco un server dei nomi autorevole che è protetto con DNSSEC (configurazione split ZSK / KSK).
Quando la ZSK (Zone-Signing-Key) viene mai compromessa, sarebbe sufficiente abbandonare la zona con un ZSK appena generato o anche il KSK avrebbe dovuto essere scambiato (e il secondo record DS inserito nella zona genitore pure?
La mia preoccupazione è che un man-in-the-middle possa usare lo ZSK compromesso per generare record falsi senza che un resolver sia in grado di rilevarlo, se pubblica simultaneamente il vecchio ZSK invece del nuovo. Non sono a conoscenza di un meccanismo di revoca per Zone-Signing-Keys né sembra possibile firmare anche una "data inattiva della chiave ZSK" con KSK.
Mi manca qualcosa o la compromissione dello ZSK richiede quindi anche uno scambio di KSK? Inoltre, quali sono i principali vantaggi di una configurazione split ZSK / KSK in questo caso?