DNSSEC - Quantos registros do DS são comuns?

2

Eu achei que precisaria de dois registros do DS para depositar no meu registrador de domínios. Mas um grande provedor de DNS me deu apenas um registro de DS. O depurador DNSSEC da Verisign diz que tudo está correto. Mas estou confuso, porque o dnssec-keygen (ferramenta de geração de chaves DNSSEC) sempre me dava dois registros do DS. Eu tenho minhas dúvidas.

    
por user1091344 03.01.2013 / 00:52

1 resposta

4

Quando você obtém 2% de registrosDS, é basicamente porque um deles contém um SHA-1 hash e o outro contém um hash SHA-256 . Observe o terceiro inteiro na representação textual do registro do DS. 1 significa SHA-1 e 2 significa SHA-256 .

Se ambos os tipos existirem, os verificadores podem usar o que quiserem, embora devam usar o mais strong que eles entendam. Isso significa que os verificadores usarão o SHA-256 se suportarem, ou SHA-1 de outra forma.

A versão SHA-1 do registro do DS precisa estar presente apenas para suportar verificadores mais antigos que não entendem o SHA-256. Espero que tais verificadores sejam extremamente raros, então você deve estar bem com apenas um registro SHA-256 DS.

Se você estava dando apenas um registro SHA-1 e nenhum registro SHA-256, você deve idealmente pedir um SHA-256, mas não se preocupe muito: por enquanto, o SHA-1 provavelmente ainda é aceitável. .

    
por 03.01.2013 / 22:24