我可以在 DNSSEC 部署中合理地使用 SHA-256 嗎？

我知道RFC 5702記錄了 SHA-2 在 DNSSEC 中的使用，並且RFC 6944將 RSA/SHA-256 定義為“建議實施”。我不知道 SHA-256 在驗證解析器中的應用範圍有多廣。

使用 SHA-256對 Internet 區域（我特別感興趣的是.org域）進行簽名是否可行，或者我是否讓我的區域無法被大範圍的 DNSSEC 感知 Internet 驗證？

作為後續，密鑰計劃是否可以隨著散列變化而改變以保持相同的安全級別（例如，我可以通過縮短密鑰計劃來解決使用 SHA-1 的問題）嗎？

根區 (aka .) 本身使用 RSA/SHA256 簽名（KSK 和 ZSK 都是 RSA/SHA256）。

因此，不支持 RSA/SHA256 的驗證解析器在 Internet 上幾乎沒有用處，因為它無法驗證整個鏈。

我認為您可以安全地假設支持 RSA/SHA256。

http://dnsviz.net/d/org/dnssec/可以提供一個有用的視覺化的密鑰使用到該org區域。

引用自：https://serverfault.com/questions/584570