Czy mogę rozsądnie używać SHA-256 we wdrożeniu DNSSEC?


10

Wiem, że RFC 5702 dokumentuje użycie SHA-2 w DNSSEC i że RFC 6944 definiuje RSA / SHA-256 jako „zalecane do wdrożenia”. Nie jestem jednak świadomy tego, jak szeroko wdrożony SHA-256 sprawdza poprawność resolverów.

Czy praktyczne jest podpisywanie stref internetowych (te, które szczególnie mnie interesują to .orgdomeny) za pomocą SHA-256, czy też uniemożliwiam weryfikację mojej strefy dla dużych obszarów Internetu obsługującego DNSSEC?

W następstwie, czy kluczowe harmonogramy mogą ulec zmianie wraz ze zmianą skrótu, aby zachować ten sam poziom bezpieczeństwa (np. Czy mogę obejść używanie SHA-1, mając krótsze harmonogramy kluczy)?

Odpowiedzi:


8

Sama strefa root (aka .) jest podpisana przez RSA / SHA256 (KSK oraz ZSK to RSA / SHA256).

W związku z tym sprawdzający poprawność resolvera, który nie obsługuje RSA / SHA256, będzie w większości bezużyteczny w Internecie, ponieważ nie będzie w stanie zweryfikować pełnego łańcucha.

Myślę, że możesz bezpiecznie założyć, że RSA / SHA256 jest obsługiwany.

http://dnsviz.net/d/org/dnssec/ może zapewnić użyteczną wizualizację używanych kluczy aż do orgstrefy.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.