该M³WAAGDKIM密钥轮换最佳实践文档(PDF)推荐了一个“足够”随机DKIM选择名称,以便它无法通过浏览DNS猜测。文字引述:
4.3 键选择器命名方案
为 DKIM 密钥选择器定义一个命名方案,该方案既对取证分析有意义,又足够随机,因此无法通过浏览 DNS 轻易猜出密钥。
注意:选择器命名方案还应设计为降低攻击者可以轻松预测未来选择器的名称并检索相关键的风险。有关发布密钥以供将来使用的过程的描述,请参阅第 5 节
这可能与较短的 512 位 RSA 密钥有关,但对我来说似乎没有意义,例如 2048 位的 RSA 密钥。DNS 持有非秘密的公钥,只需阅读一封签名邮件即可发现。默默无闻的安全性和很少的安全性?
为什么随机 DKIM 选择器名称会更好,什么时候遵循他们的建议才有意义?
两个好处:
看起来只是一个(有点弱)额外的保护层。