Posso usar razoavelmente o SHA-256 em uma implantação DNSSEC?

10

Eu sei que o RFC 5702 documenta o uso do SHA-2 no DNSSEC e que o RFC 6944 define o RSA / SHA-256 como "recomendado para implementar". O que não estou ciente é do quão amplamente implementado o SHA-256 está na validação de resolvedores.

É prático assinar zonas da Internet (aquelas em que estou particularmente interessado em .orgdomínios) com o SHA-256, ou estou tornando minha zona inverificável para grandes áreas da Internet compatível com DNSSEC?

Como acompanhamento, as agendas de chaves podem mudar com uma alteração de hash para manter o mesmo nível de segurança (por exemplo, posso contornar o uso do SHA-1 tendo agendas de chaves mais curtas)?

Calrion
fonte

Respostas:

8

A zona raiz (aka .) em si é assinada com RSA / SHA256 (KSK e ZSK são RSA / SHA256).

Assim, um resolvedor de validação que não suporta RSA / SHA256 será inútil na Internet, pois não conseguirá validar toda a cadeia.

Eu acho que é seguro para você assumir que o RSA / SHA256 é suportado.

http://dnsviz.net/d/org/dnssec/ pode fornecer uma visualização útil das chaves em uso até a orgzona.

Håkan Lindqvist
fonte