我使用 Google Domains,刚刚在 A2 Hosting 开设了一个帐户。我想继续使用 DNSSEC。A2 Hosting 要求我“请开具支持单并提供以下信息:
DS 记录摘要摘要类型算法公钥密钥标签标志”
我知道如何将这些输入 Google,但是从 A2 请求的良好默认设置是什么?
答案1
关于谁扮演哪个角色以及需要什么信息似乎存在一些混淆,我只是想尝试更通用地解决潜在的问题:
与您的问题相关的各方
签名者
签名者(通常是 DNS 托管提供商,可能恰好与注册商是同一实体,因为许多注册商也提供相关服务)需要创建密钥并签署区域。注册商
注册商需要获取有关作为签署区域 (KSK/CSK) 入口点的密钥的信息,以便他们可以DS在 TLD 区域中添加一条记录,告知全世界该区域已签署以及使用什么密钥签署。
问题中提到的信息DS Record Digest Digest Type Algorithm Public Key Key Tag Flags,是注册商添加上述DS记录所需要的信息。这些信息直接来源于签名者使用的KSK/CSK密钥。
DNSSEC 密钥算法/参数
创建密钥时要考虑的主要问题是DNSSEC 算法对于某些算法,密钥长度也是可变的。
如果密钥创建由某些托管提供商处理,他们甚至可能不会给您选择,但如果他们允许您选择或您自己运行,则需要选择算法。
与所有加密技术一样,最佳实践算法的选择会随着时间的推移而发展,因此我将参考rfc8624 的算法选择部分(该文件是 2019 年的,仍然具有相关性,请考虑最终将取代该文件的未来文件)作为该情况的快照。
总结 rfc8624 的算法选择部分,ECDSAP256SHA256(13) 是目前对 DNSSEC 密钥的建议。
(在所有较旧的算法中,RSASHA256(8) 是唯一仍然保持强大地位的算法,但也正在逐渐被淘汰。)
至于 DS 算法(如何DS从密钥派生出记录),当前的建议是SHA-256(2)。