我以为我需要两个 DS 记录才能存放在我的域名注册商处。但一家大型 DNS 提供商只给了我一条 DS 记录。Verisign DNSSEC 调试器说,一切都正确。但我很困惑,因为 dnssec-keygen(DNSSEC 密钥生成工具)总是给我两个 DS 记录。我对此表示怀疑。
答案1
当你得到 2 条DS记录时,基本上总是因为其中一条包含SHA-1哈希,另一个包含一个SHA-256哈希。查看 DS 记录的文本表示中的第三个整数。1 表示 SHA-1,2 表示 SHA-256。
如果两种类型都存在,验证者可以选择他们喜欢的那一种,但他们应该使用他们理解的最强的那一种。这意味着如果验证者支持 SHA-256,则使用 SHA-256;否则使用 SHA-1。
仅当支持不支持 SHA-256 的旧验证器时,才需要 SHA-1 版本的 DS 记录。希望这样的验证器非常少见,所以只需 SHA-256 DS 记录就足够了。
如果您只提供 SHA-1 记录而没有 SHA-256 记录,那么您最好要求提供 SHA-256 记录,但不要太担心:目前 SHA-1 可能仍然可以接受。