Suponiendo que estoy administrando una zona DNS y opero un servidor de nombres autorizado que está protegido con DNSSEC (configuración dividida de ZSK / KSK).
Cuando la clave de firma de zona (ZSK) alguna vez se vea comprometida, ¿sería suficiente renunciar a la zona con una ZSK recién generada o la KSK también tendría que ser intercambiada (y el registro DS correspondiente se insertará en la zona principal? ) también?
Mi preocupación es que un man-in-the-middle podría usar la ZSK comprometida para generar registros falsos sin que un resolutor pueda detectar esto, si él publica simultáneamente la antigua ZSK en lugar de la uno nuevo. No tengo conocimiento de un mecanismo de revocación para las claves de firma de zona ni parece posible firmar también una "fecha inactiva de la clave ZSK" con la KSK.
¿Me estoy perdiendo algo o, por lo tanto, la compromiso de la ZSK también requiere un intercambio de la KSK? Además, ¿cuáles son las principales ventajas de una configuración dividida ZSK / KSK en este caso?