Eu sei que o RFC 5702 documenta o uso do SHA-2 no DNSSEC, e que A RFC 6944 define o RSA / SHA-256 como" recomendado para implementar ". O que eu estou não ciente é o quão amplamente implementado o SHA-256 está na validação de resolvedores.
É prático assinar zonas da Internet (com as quais estou particularmente interessado são .org domains) com SHA-256, ou estou tornando minha zona não-verificável para grandes áreas da Internet com reconhecimento de DNSSEC?
Como acompanhamento, os principais agendamentos podem mudar com uma alteração de hash para manter o mesmo nível de segurança (por exemplo, posso trabalhar usando o SHA-1 com agendamentos de chaves mais curtos)?
A zona de raiz (também conhecida como . ) é assinada com RSA / SHA256 (o KSK e o ZSK são RSA / SHA256).
Assim, um resolvedor de validação que não suporte RSA / SHA256 será inútil na Internet, já que não seria capaz de validar toda a cadeia.
Acho que é seguro para você assumir que o RSA / SHA256 é suportado.
O link pode fornecer uma visualização útil das chaves em uso até a org zone.