Ich weiß, dass RFC 5702 die Verwendung von SHA-2 in DNSSEC dokumentiert und dass RFC 6944 RSA / SHA-256 als "zur Implementierung empfohlen" definiert. Was mir nicht bewusst ist, ist, wie weit verbreitet SHA-256 bei der Validierung von Resolvern ist.
Ist es praktisch, Internetzonen (die mich besonders interessieren, sind .org
Domains) mit SHA-256 zu signieren , oder mache ich meine Zone für große Teile des DNSSEC-fähigen Internets nicht überprüfbar?
Können sich im Nachhinein Schlüsselpläne mit einer Hash-Änderung ändern, um das gleiche Sicherheitsniveau beizubehalten (z. B. kann ich SHA-1 mit kürzeren Schlüsselplänen umgehen)?