Dnssec

具有 RSASHA256 或僅 NSEC3* 的 NSEC3 資源記錄?

  • June 23, 2017

是否可以將 NSEC3 資源記錄與 RSASHA256 密鑰一起使用,或者 NSEC3 是否需要使用 NSEC3RSASHA1 或 NSEC3DSA 密鑰?

RSASHA1分配一個單獨的標識符與一起使用的原因NSEC3是它RSASHA1已經定義並且在NSEC3存在之前已經使用了很長時間。

因此,在引入NSEC3它時,它被認為是與現有部署軟體的最佳兼容性RSASHA1,而不是擴展應該如何工作,而是將更新後的規範呈現為一個全新的算法RSASHA1-NSEC3-SHA1,現有軟體會清楚地認識到它不支持而不是錯誤地使用它的NSEC唯一程式碼帶NSEC3區。

當後來的算法(如RSASHA256,ECDSAP256SHA256等)被引入時,這些算法NSEC3從一開始就包括對 的支持。

正如您在分配的 DNSSEC 算法列表中所見,任何較新的算法都沒有NSEC3變體。

引用自:https://serverfault.com/questions/857483