DNSSEC展開でSHA-256を合理的に使用できますか?


10

RFC 5702がDNSSECでのSHA-2の使用を文書化し、RFC 6944が RSA / SHA-256を「実装が推奨される」と定義していることを知っています。私が気づいていないのは、リゾルバーの検証で広く実装されているSHA-256がどれだけあるかです。

インターネットゾーン(特に興味があるのは.orgドメイン)にSHA-256で署名することは現実的ですか、それともDNSSEC対応インターネットの大規模なスワスに対してゾーンを検証できないようにしていますか?

フォローアップとして、同じレベルのセキュリティを維持するために、ハッシュの変更でキースケジュールを変更できますか(たとえば、より短いキースケジュールを使用してSHA-1の使用を回避できますか)?

回答:


8

ルートゾーン(別名.)自体はRSA / SHA256で署名されています(KSKとZSKはRSA / SHA256です)。

したがって、RSA / SHA256をサポートしない検証リゾルバは、完全なチェーンを検証できないため、インターネット上ではほとんど役に立ちません。

RSA / SHA256がサポートされていると想定しても安全だと思います。

http://dnsviz.net/d/org/dnssec/は、orgゾーンまで使用されているキーの有用な視覚化を提供する場合があります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.