Bisakah saya menggunakan SHA-256 secara wajar dalam penyebaran DNSSEC?

10

Saya tahu bahwa RFC 5702 mendokumentasikan penggunaan SHA-2 dalam DNSSEC, dan bahwa RFC 6944 mendefinisikan RSA / SHA-256 sebagai "direkomendasikan untuk diterapkan." Apa yang saya tidak sadari adalah seberapa banyak SHA-256 yang diimplementasikan secara luas dalam memvalidasi resolver.

Apakah praktis untuk menandatangani zona Internet (yang saya sangat tertarik adalah .orgdomain) dengan SHA-256, atau apakah saya membuat zona saya tidak dapat diverifikasi oleh petak besar Internet yang sadar DNSSEC?

Sebagai tindak lanjut, dapatkah jadwal kunci berubah dengan hash berubah untuk menjaga tingkat keamanan yang sama (mis. Bisakah saya bekerja menggunakan SHA-1 dengan memiliki jadwal kunci yang lebih pendek)?

Calrion
sumber

Jawaban:

8

Zona root (alias .) itu sendiri ditandatangani dengan RSA / SHA256 (KSK serta ZSK adalah RSA / SHA256).

Dengan demikian, resolver validasi yang tidak mendukung RSA / SHA256 akan sebagian besar tidak berguna di Internet karena tidak akan dapat memvalidasi rantai penuh.

Saya pikir aman bagi Anda untuk berasumsi bahwa RSA / SHA256 didukung.

http://dnsviz.net/d/org/dnssec/ dapat memberikan visualisasi tombol yang berguna hingga orgzona tersebut.

Håkan Lindqvist
sumber