use*_*344 2 domain-name-system dns-hosting dnssec
我认为我需要将两个 DS 记录存入我的域名注册商处。但是一个大的 dns 提供商只给了我一个 DS 记录。威瑞信 DNSSEC 调试器说,一切正常。但我很困惑,因为 dnssec-keygen(DNSSEC 密钥生成工具)总是给我两条 DS 记录。我有我的疑问。
当您获得 2DS条记录时,基本上总是因为其中一条包含SHA-1哈希,而另一条包含SHA-256哈希。查看 DS 记录文本表示中的第三个整数。1 表示 SHA-1 , 2 表示 SHA-256。
如果两种类型都存在,验证者可以使用他们喜欢的任何一种,但他们应该使用他们理解的最强的一种。这意味着验证者将使用 SHA-256(如果他们支持),否则将使用 SHA-1。
DS 记录的 SHA-1 版本只需要支持不理解 SHA-256 的旧验证器。希望这样的验证器非常罕见,所以你应该只需要一个 SHA-256 DS 记录就可以了。
如果您只提供 SHA-1 记录而没有 SHA-256 记录,则理想情况下您应该要求提供 SHA-256 记录,但不要太担心:目前 SHA-1 可能仍然可以接受。