O sal destina-se a impedir ataques de dicionário pré-computados. No entanto, como mencionado em esta revisão de segurança , o sal não fornece segurança adicional porque o salt está publicamente disponível através do registro NSEC3PARAMS . Como o nome totalmente qualificado é usado nos hashes NSEC3, não existe realmente o risco de um ataque de tipo de arco-íris globalmente útil, então você está livre para escolher seu hash arbitrariamente.
Se um invasor fizer uma colisão de hash NSEC3 improvável, o sal teria que ser alterado para eliminar a colisão.
EDIT: Por que vale a pena, RFC 5155 faz uma recomendação:
The salt SHOULD be at least 64 bits long and unpredictable, so that
an attacker cannot anticipate the value of the salt and compute the
next set of dictionaries before the zone is published.