Neni to tak jednoduche: nameservery mam ve vlastni moci, ale DS zaznamy do zony .cz musi protlacit registrator. Coz ten muj neumi (odhad je "behem letosniho roku ).

Jinak ale DNSSECu zoufale chybi nastroje (nebo jsem aspon nenasel ty spravne). Cely system predpoklada, ze bude zvlast KSK ktery bude zabezpeceny (a dlouhodoby) a asi bude ulozeny mimo primarni nameserver, a pak ZSK, ktery se bude casteji menit, a budou se tim podepisovat zony (i treba automaticky, kdyz minulym podpisum vyprsi platnost). A problem je, ze nikde neni popsano jak tento setup udelat. Vsude se popisuje "vygenerujte KSK a ZSK vedle sebe, a zavolejte dnssec-signzone". Ale o tom jak vygenerovat KSK jinde a podepsat jim jen DNSKEY zaznamy se nic nepravi. Ani o tom jak zjistit, ze necemu vyprsi brzo podpis. Asi nejkratsi cesta kterou jsem objevil je pouzit perlove moduly Net::DNS::SEC::RRSIG a Net::DNS::ZoneFile::Fast a naprogramovat si to sam. Je to jen 2-3 obrazovky kodu, ale stejne me prekvapuje, ze neco takoveho jeste neni nekde hotove.

-Yenya