DNSEC 中 DNSKEY 记录的 Flags 字段中 BIT15 安全入口点的使用场景？

KSK 用来对常规记录进行签名校验
ZSK 用来对 DNSKEY 记录进行签名校验

可以看下《 DNS 与 BIND 》，虽然书比较老，但是讲的比较清楚

@johnjiang85 谢谢。

DNS 与 BIND （第五版）：
DNSKEY 记录中的 SEP 标志位指示软件确定哪个区域的 DNSKEY 记录对应着密钥签名密钥（也就是 SEP 标志设置的记录）。当我们生成主机的密钥对时，我们将要指定哪个时密钥签名密钥。

就是说有了 SEP 标记的就是用来作用 KSK，但是没有 SEP 标记也可以用来做 KSK 吧。在 RFC4034 中没有明确指定 SEP 来区分 ZSK 和 KSK，好像只是使用的一个约定？其实也可以用其他的方式确定 ZSK 和 KSK，或者说只用一个 DNSKEY 。

所以是否也可能存在不通软件对 SEP 的处理方式会有不同的现象。

@tom82232 不好意思，1 楼说反了，应该是
ZSK 用来对常规记录进行签名校验，dig 显示标记值为 256 （只有一个 1 ）
KSK 只用来对 DNSKEY 记录进行签名校验，dig 显示标记值为 257 （两个 1 ），摘要信息 DS 提交到注册局，用于验证 ZSK

分成两个的作用吧，主要是 ZSK 签名记录的次数会很多，容易被破解，需要比较频繁的进行密钥更新，但是更新只需要在 DNS 解析商出轮转更新即可

KSK 密钥轮转更新比较麻烦，需要重新生成 DS 摘要提交到注册局进行轮转更新，只用来签名 DNSKEY 记录的话，签名次数较少，就不需要频繁更新了

@johnjiang85 嗯，对于 ZSK 和 KSK 了解，我的疑惑是 256 是不是也可以用来做 KSK （ 257 不是必须的，是建议？），所以实际使用可以两个都是 256 （也可以都是 257 ），一个用来 KSK，一个用来 ZSK ；或者反过来 257 做 ZSK，256 做 KSK 。都是可以实现的。