Je sais que la RFC 5702 documente l'utilisation de SHA-2 dans DNSSEC, et que la RFC 6944 définit RSA / SHA-256 comme "recommandé à mettre en œuvre". Ce que je ne sais pas, c'est à quel point SHA-256 est largement implémenté dans la validation des résolveurs.
Est-il pratique de signer des zones Internet (celles qui m'intéressent particulièrement sont les .org
domaines) avec SHA-256, ou est-ce que je rend ma zone invérifiable pour de larges pans d'Internet compatible DNSSEC?
À titre de suivi, les horaires clés peuvent-ils changer avec un changement de hachage pour conserver le même niveau de sécurité (par exemple, puis-je contourner l'utilisation de SHA-1 en ayant des horaires clés plus courts)?