я знаю это RFC 5702 документирует использование SHA-2 в DNSSEC, и что RFC 6944 определяет RSA / SHA-256 как «рекомендованный к реализации». Что я не известно, насколько широко используется SHA-256 для проверки распознавателей.
Практично ли подписывать интернет-зоны (особенно меня интересуют .org домены) с SHA-256, или я делаю свою зону непроверяемой для больших участков Интернета с поддержкой DNSSEC?
В качестве продолжения, могут ли ключевые расписания измениться с изменением хэша, чтобы сохранить тот же уровень безопасности (например, могу ли я обойтись с использованием SHA-1, имея более короткие ключевые расписания)?
Корневая зона (также известная как .) сам подписан с помощью RSA / SHA256 (KSK, как и ZSK, являются RSA / SHA256).
Таким образом, проверяющий распознаватель, который не поддерживает RSA / SHA256, будет в основном бесполезен в Интернете, поскольку он не сможет проверить всю цепочку.
Я думаю, вы можете с уверенностью предположить, что RSA / SHA256 поддерживается.
http://dnsviz.net/d/org/dnssec/ может предоставить полезную визуализацию используемых ключей до org зона.