Posso ragionevolmente usare SHA-256 in una distribuzione DNSSEC?


10

So che RFC 5702 documenta l'uso di SHA-2 in DNSSEC e che RFC 6944 definisce RSA / SHA-256 come "consigliato da implementare". Ciò di cui non sono a conoscenza è quanto sia ampiamente implementato SHA-256 nella validazione dei resolver.

È pratico firmare zone Internet (quelle a cui sono particolarmente interessato sono i .orgdomini) con SHA-256 o sto rendendo la mia zona non verificabile su ampie parti di Internet sensibile a DNSSEC?

Come follow-up, le pianificazioni delle chiavi possono cambiare con una modifica dell'hash per mantenere lo stesso livello di sicurezza (ad esempio, posso aggirare utilizzando SHA-1 avendo pianificazioni delle chiavi più brevi)?

Risposte:


8

La stessa zona radice (aka .) è firmata con RSA / SHA256 (KSK e ZSK sono RSA / SHA256).

Pertanto, un resolver di convalida che non supporta RSA / SHA256 sarà per lo più inutile su Internet in quanto non sarebbe in grado di convalidare l'intera catena.

Penso che sia sicuro per te supporre che RSA / SHA256 sia supportato.

http://dnsviz.net/d/org/dnssec/ può fornire una visualizzazione utile delle chiavi in ​​uso fino alla orgzona.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.