Можно ли использовать записи ресурсов NSEC3 с ключами RSASHA256 или NSEC3 требует использования ключей NSEC3RSASHA1 или NSEC3DSA?
Причина почему RSASHA1 был присвоен отдельный идентификатор для использования вместе с NSEC3 в том, что RSASHA1 были определены и уже использовались в течение долгого времени до NSEC3 существовал.
Таким образом, при введении NSEC3 это было сочтено лучше всего для совместимости с существующим развернутым программным обеспечением, чтобы не расширять, как RSASHA1 должен работать, но чтобы представить обновленную спецификацию как совершенно новый алгоритм RSASHA1-NSEC3-SHA1 существующее программное обеспечение будет ясно распознавать, что оно не поддерживает, вместо того, чтобы неправильно использовать его NSEC-только код с NSEC3 зоны.
Когда более поздние алгоритмы, такие как RSASHA256, ECDSAP256SHA256и т. д., они включали поддержку NSEC3 с самого начала идти.
Как вы можете видеть в список назначенных алгоритмов DNSSEC, нет NSEC3 вариации для любых новых алгоритмов.