Puis-je raisonnablement utiliser SHA-256 dans un déploiement DNSSEC?


10

Je sais que la RFC 5702 documente l'utilisation de SHA-2 dans DNSSEC, et que la RFC 6944 définit RSA / SHA-256 comme "recommandé à mettre en œuvre". Ce que je ne sais pas, c'est à quel point SHA-256 est largement implémenté dans la validation des résolveurs.

Est-il pratique de signer des zones Internet (celles qui m'intéressent particulièrement sont les .orgdomaines) avec SHA-256, ou est-ce que je rend ma zone invérifiable pour de larges pans d'Internet compatible DNSSEC?

À titre de suivi, les horaires clés peuvent-ils changer avec un changement de hachage pour conserver le même niveau de sécurité (par exemple, puis-je contourner l'utilisation de SHA-1 en ayant des horaires clés plus courts)?

Réponses:


8

La zone racine (aka .) elle-même est signée avec RSA / SHA256 (KSK ainsi que ZSK sont RSA / SHA256).

Ainsi, un résolveur de validation qui ne prend pas en charge RSA / SHA256 sera principalement inutile sur Internet car il ne pourrait pas valider la chaîne complète.

Je pense qu'il est sûr pour vous de supposer que RSA / SHA256 est pris en charge.

http://dnsviz.net/d/org/dnssec/ peut fournir une visualisation utile des clés utilisées jusqu'à la orgzone.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.