Quando você obtém 2% de registrosDS, é basicamente porque um deles contém um SHA-1 hash e o outro contém um hash SHA-256 . Observe o terceiro inteiro na representação textual do registro do DS. 1 significa SHA-1 e 2 significa SHA-256 .
Se ambos os tipos existirem, os verificadores podem usar o que quiserem, embora devam usar o mais strong que eles entendam. Isso significa que os verificadores usarão o SHA-256 se suportarem, ou SHA-1 de outra forma.
A versão SHA-1 do registro do DS precisa estar presente apenas para suportar verificadores mais antigos que não entendem o SHA-256. Espero que tais verificadores sejam extremamente raros, então você deve estar bem com apenas um registro SHA-256 DS.
Se você estava dando apenas um registro SHA-1 e nenhum registro SHA-256, você deve idealmente pedir um SHA-256, mas não se preocupe muito: por enquanto, o SHA-1 provavelmente ainda é aceitável. .