RFC 5702がDNSSECでのSHA-2の使用を文書化し、RFC 6944が RSA / SHA-256を「実装が推奨される」と定義していることを知っています。私が気づいていないのは、リゾルバーの検証で広く実装されているSHA-256がどれだけあるかです。
インターネットゾーン(特に興味があるのは.org
ドメイン)にSHA-256で署名することは現実的ですか、それともDNSSEC対応インターネットの大規模なスワスに対してゾーンを検証できないようにしていますか?
フォローアップとして、同じレベルのセキュリティを維持するために、ハッシュの変更でキースケジュールを変更できますか(たとえば、より短いキースケジュールを使用してSHA-1の使用を回避できますか)?