DNSSEC 的良好默认设置是什么？

Question

关于谁扮演哪个角色以及需要什么信息似乎存在一些混淆，我只是想尝试更通用地解决潜在的问题：

签名者
签名者（通常是 DNS 托管提供商，可能恰好与注册商是同一实体，因为许多注册商也提供相关服务）需要创建密钥并签署区域。
注册商
注册商需要获取有关作为签署区域 (KSK/CSK) 入口点的密钥的信息，以便他们可以DS在 TLD 区域中添加一条记录，告知全世界该区域已签署以及使用什么密钥签署。

问题中提到的信息DS Record Digest Digest Type Algorithm Public Key Key Tag Flags，是注册商添加上述DS记录所需要的信息。这些信息直接来源于签名者使用的KSK/CSK密钥。

创建密钥时要考虑的主要问题是DNSSEC 算法对于某些算法，密钥长度也是可变的。
如果密钥创建由某些托管提供商处理，他们甚至可能不会给您选择，但如果他们允许您选择或您自己运行，则需要选择算法。

与所有加密技术一样，最佳实践算法的选择会随着时间的推移而发展，因此我将参考rfc8624 的算法选择部分（该文件是 2019 年的，仍然具有相关性，请考虑最终将取代该文件的未来文件）作为该情况的快照。

总结 rfc8624 的算法选择部分，ECDSAP256SHA256(13) 是目前对 DNSSEC 密钥的建议。
（在所有较旧的算法中，RSASHA256(8) 是唯一仍然保持强大地位的算法，但也正在逐渐被淘汰。）

至于 DS 算法（如何DS从密钥派生出记录），当前的建议是SHA-256(2)。

Answer 1

关于谁扮演哪个角色以及需要什么信息似乎存在一些混淆，我只是想尝试更通用地解决潜在的问题：

签名者
签名者（通常是 DNS 托管提供商，可能恰好与注册商是同一实体，因为许多注册商也提供相关服务）需要创建密钥并签署区域。
注册商
注册商需要获取有关作为签署区域 (KSK/CSK) 入口点的密钥的信息，以便他们可以DS在 TLD 区域中添加一条记录，告知全世界该区域已签署以及使用什么密钥签署。

问题中提到的信息DS Record Digest Digest Type Algorithm Public Key Key Tag Flags，是注册商添加上述DS记录所需要的信息。这些信息直接来源于签名者使用的KSK/CSK密钥。

创建密钥时要考虑的主要问题是DNSSEC 算法对于某些算法，密钥长度也是可变的。
如果密钥创建由某些托管提供商处理，他们甚至可能不会给您选择，但如果他们允许您选择或您自己运行，则需要选择算法。

与所有加密技术一样，最佳实践算法的选择会随着时间的推移而发展，因此我将参考rfc8624 的算法选择部分（该文件是 2019 年的，仍然具有相关性，请考虑最终将取代该文件的未来文件）作为该情况的快照。

总结 rfc8624 的算法选择部分，ECDSAP256SHA256(13) 是目前对 DNSSEC 密钥的建议。
（在所有较旧的算法中，RSASHA256(8) 是唯一仍然保持强大地位的算法，但也正在逐渐被淘汰。）

至于 DS 算法（如何DS从密钥派生出记录），当前的建议是SHA-256(2)。

相关内容