Dnssec
具有 RSASHA256 或僅 NSEC3* 的 NSEC3 資源記錄?
是否可以將 NSEC3 資源記錄與 RSASHA256 密鑰一起使用,或者 NSEC3 是否需要使用 NSEC3RSASHA1 或 NSEC3DSA 密鑰?
RSASHA1
分配一個單獨的標識符與一起使用的原因NSEC3
是它RSASHA1
已經定義並且在NSEC3
存在之前已經使用了很長時間。因此,在引入
NSEC3
它時,它被認為是與現有部署軟體的最佳兼容性RSASHA1
,而不是擴展應該如何工作,而是將更新後的規範呈現為一個全新的算法RSASHA1-NSEC3-SHA1
,現有軟體會清楚地認識到它不支持而不是錯誤地使用它的NSEC
唯一程式碼帶NSEC3
區。當後來的算法(如
RSASHA256
,ECDSAP256SHA256
等)被引入時,這些算法NSEC3
從一開始就包括對 的支持。正如您在分配的 DNSSEC 算法列表中所見,任何較新的算法都沒有
NSEC3
變體。