我知道RFC 5702logging了在DNSSEC中使用SHA-2, RFC 6944将RSA / SHA-256定义为“推荐实现”。 我没有意识到的是SHA-256在validationparsing器中有多广泛的实现。
使用SHA-256签名Internet区域(我特别感兴趣的是.org域名)是否可行?还是让我的区域无法validation到大量DNSSEC感知的Internet?
作为一个后续,密钥时间表可以随着哈希变化而改变,以保持相同的安全级别(例如,我可以通过缩短密钥时间表来使用SHA-1)吗?
根区(aka . )本身是用RSA / SHA256(KSK以及ZSK是RSA / SHA256)签名的。
因此,不支持RSA / SHA256的validationparsing器在互联网上大部分是无用的,因为它无法validation完整的链。
我认为你可以假设支持RSA / SHA256是安全的。
http://dnsviz.net/d/org/dnssec/可以提供直到org区使用的密钥的有用可视化。