我可以在 DNSSEC 部署中合理使用 SHA-256 吗?

tag-icon tag-icon security dnssec
我可以在 DNSSEC 部署中合理使用 SHA-256 吗?

我知道RFC 5702记录了 SHA-2 在 DNSSEC 中的使用情况,并且RFC 6944将 RSA/SHA-256 定义为“建议实施”。我不是值得注意的是 SHA-256 在验证解析器中的应用有多么广泛。

使用 SHA-256对互联网区域(我特别感兴趣的是.org域)进行签名是否可行,或者我是否会使我的区域对于大量支持 DNSSEC 的互联网而言无法验证?

作为后续行动,密钥计划是否可以随着哈希值的改变而改变,以保持相同的安全级别(例如,我可以通过缩短密钥计划来解决这个问题,即使用 SHA-1 吗)?

答案1

根区域(又名.)本身使用 RSA/SHA256 签名(KSK 和 ZSK 都是 RSA/SHA256)。

因此,不支持 RSA/SHA256 的验证解析器在互联网上基本上是无用的,因为它无法验证完整链。

我认为您可以安全地假设 RSA/SHA256 受支持。

http://dnsviz.net/d/org/dnssec/可以提供区域内正在使用的按键的有用的可视化效果org

相关内容