Я подумал, что мне нужны две записи DS для депонирования у моего регистратора доменов. Но один крупный поставщик DNS только что дал мне одну запись DS. Отладчик Verisign DNSSEC говорит, все правильно. Но я сбит с толку, потому что dnssec-keygen (инструмент генерации ключей DNSSEC) всегда давал мне две записи DS. У меня есть сомнения.
Когда вы получите 2 DS записей, это обычно всегда потому, что одна из них содержит SHA-1 хеш, а другой содержит SHA-256 хэш. Посмотрите на третье целое число в текстовом представлении записи DS. 1 означает SHA-1, а 2 означает SHA-256.
Если существуют оба типа, верификаторы могут использовать тот, который им нравится, хотя им следует использовать самый надежный из них, который они понимают. Это означает, что верификаторы будут использовать SHA-256, если они его поддерживают, или SHA-1 в противном случае.
Версия SHA-1 записи DS должна присутствовать только для поддержки старых верификаторов, которые не понимают SHA-256. Надеюсь, такие верификаторы исчезающе редки, поэтому вам подойдет только запись SHA-256 DS.
Если вы давали только запись SHA-1 и не указали SHA-256, в идеале вам следует запросить запись SHA-256, но не беспокойтесь об этом слишком сильно: на данный момент SHA-1, вероятно, все еще приемлем.