Security

我可以在 DNSSEC 部署中合理地使用 SHA-256 嗎?

  • April 6, 2014

我知道RFC 5702記錄了 SHA-2 在 DNSSEC 中的使用,並且RFC 6944將 RSA/SHA-256 定義為“建議實施”。我知道 SHA-256 在驗證解析器中的應用範圍有多廣。

使用 SHA-256對 Internet 區域(我特別感興趣的是.org域)進行簽名是否可行,或者我是否讓我的區域無法被大範圍的 DNSSEC 感知 Internet 驗證?

作為後續,密鑰計劃是否可以隨著散列變化而改變以保持相同的安全級別(例如,我可以通過縮短密鑰計劃來解決使用 SHA-1 的問題)嗎?

根區 (aka .) 本身使用 RSA/SHA256 簽名(KSK 和 ZSK 都是 RSA/SHA256)。

因此,不支持 RSA/SHA256 的驗證解析器在 Internet 上幾乎沒有用處,因為它無法驗證整個鏈。

我認為您可以安全地假設支持 RSA/SHA256。

http://dnsviz.net/d/org/dnssec/可以提供一個有用的視覺化的密鑰使用到該org區域。

引用自:https://serverfault.com/questions/584570