我使用 Google Domains,并且刚刚在 A2 Hosting 上开设了一个帐户。我想继续使用 DNSSEC。A2 Hosting 要求我“请开具支持票并提供以下信息:
DS 记录摘要摘要类型算法公钥密钥标签标志”
我知道如何将这些放入 Google,但是从 A2 请求什么是好的默认设置?
关于谁是哪个角色以及需要问题中的哪些信息似乎存在一些困惑,我将尝试更一般地解决根本问题:
签名者
签名者(通常是 DNS 托管提供商,可能恰好与注册商是同一实体,因为许多注册商也提供相关服务)需要创建密钥并对区域进行签名。
注册商 注册
商需要获取有关作为区域签名入口点 (KSK/CSK) 的密钥的信息,以便他们可以DS在 TLD 区域中添加一条记录,告诉全世界该区域已签名以及签名的密钥是什么和。
问题中提到的信息DS Record Digest Digest Type Algorithm Public Key Key Tag Flags,是注册商添加上述DS记录所需的信息。这些直接源自签名者使用的 KSK/CSK 密钥。
创建密钥时要考虑的主要因素是DNSSEC 算法,对于某些算法(其可变),密钥长度也是可变的。
如果密钥创建是由某些托管提供商处理的,他们甚至可能不会给您选择,但如果他们允许您选择或者如果您运行自己的算法,则需要选择算法。
与所有加密货币一样,最佳实践算法选择会随着时间的推移而演变,因此我将参考rfc8624 的算法选择部分(本文档来自 2019 年,仍然相关,请考虑最终将取代本文档的未来文档)作为该内容的快照情况。
总结 rfc8624 的算法选择部分,ECDSAP256SHA256(13) 是当前对 DNSSEC 密钥的建议。
(在所有较旧的算法中,RSASHA256(8)是唯一仍然拥有强大地位的算法,但这也在慢慢被淘汰的过程中得到了很大程度的考虑。)
至于DS算法(如何DS从密钥导出记录),当前的建议是SHA-256(2)。
| 归档时间: |
|
| 查看次数: |
1604 次 |
| 最近记录: |