我以为我需要两个DSlogging存放在我的域名注册商。 但是一家大的DNS提供商给了我一个DSlogging。 Verisign DNSSECdebugging器说,一切都是正确的。 但是我很困惑,因为dnssec-keygen(DNSSEC密钥生成工具)总是给我两个DSlogging。 我有我的疑惑。
当您获得2个DSlogging时,基本上总是因为其中一个包含SHA-1哈希,而另一个包含SHA-256哈希。 查看DSlogging的文本表示中的第三个整数。 1表示SHA-1,2表示SHA-256 。
如果两种types都存在,validation者可以使用他们喜欢的任何一种,尽pipe他们应该使用他们理解的最强的一种。 这意味着validation者将使用SHA-256(如果他们支持的话),否则使用SHA-1。
DSlogging的SHA-1版本只需要存在以支持不理解SHA-256的旧validation器。 希望这样的validation器是罕见的,所以你应该没有问题,只需要一个SHA-256 DSlogging。
如果只给出SHA-1logging而没有loggingSHA-256,理想情况下你应该要求使用SHA-256,但不要太担心:目前SHA-1可能还是可以接受的。