Question Puis-je utiliser raisonnablement SHA-256 dans un déploiement DNSSEC?


je le sais RFC 5702 documente l'utilisation de SHA-2 dans DNSSEC, et que RFC 6944 définit RSA / SHA-256 comme "recommandé à mettre en œuvre". Ce que je suis ne pas SHA-256 est largement implémenté dans la validation des résolveurs.

Est-il pratique de signer des zones Internet (celles qui m'intéressent particulièrement sont .org domaines) avec SHA-256, ou est-ce que je rend ma zone invérifiable sur de larges pans de l'Internet avec DNSSEC?

En guise de suivi, les planifications de clés peuvent-elles changer avec une modification de hachage pour conserver le même niveau de sécurité (par exemple, puis-je contourner l'utilisation de SHA-1 en ayant des planifications de clés plus courtes)?


10
2018-03-26 07:38


origine




Réponses:


La zone racine (aka .) est lui-même signé avec RSA / SHA256 (KSK ainsi que ZSK sont RSA / SHA256).

Ainsi, un résolveur de validation qui ne prend pas en charge RSA / SHA256 sera principalement inutile sur Internet car il ne serait pas en mesure de valider la chaîne complète.

Je pense que vous pouvez supposer que RSA / SHA256 est pris en charge.

http://dnsviz.net/d/org/dnssec/ peut fournir une visualisation utile des touches utilisées jusqu’à la org zone.


7
2018-04-06 20:36