我知道RFC 5702记录了 SHA-2 在 DNSSEC 中的使用,并且RFC 6944将 RSA/SHA-256 定义为“推荐实施”。我不知道的是 SHA-256 在验证解析器方面的广泛实施。
.org使用 SHA-256对 Internet 区域(我特别感兴趣的是域)进行签名是否可行,或者我是否使我的区域无法被 DNSSEC 感知 Internet 的大部分区域验证?
作为后续,密钥时间表是否可以随着哈希更改而更改以保持相同的安全级别(例如,我可以通过缩短密钥时间表来解决使用 SHA-1 的问题)吗?
根区(又名.)本身是用 RSA/SHA256 签名的(KSK 和 ZSK 都是 RSA/SHA256)。
因此,不支持 RSA/SHA256 的验证解析器在 Internet 上几乎没有用,因为它无法验证完整链。
我认为您可以安全地假设支持 RSA/SHA256。
http://dnsviz.net/d/org/dnssec/可以提供一个有用的可视化,显示区域内正在使用的密钥org。