参考此:https://crypto.stackexchange.com/questions/72297/recommended-key-size-for-dkim
我从中得到的是(当时)DNS 提供商(通常)允许最多 1024 位密钥,但不允许 2048 位。现在,我的提供商允许我使用 2048 并确认 DKIM 标志。当然,该帖子声称 1024 是完全安全的,但如果我可以选择使用 2048,我愿意。
只要我的提供商支持这么大的 TXT 记录,我就可以继续了吗?或者还会有问题吗?
这取决于您的用例。DKIM 的既定目的是验证消息的真实性。如果是这种情况,通常可以接受使用 2048 位 RSA 密钥。DNS 服务器考虑的是您的权威名称服务器,因此如果接受输入长度超过 255 个字符的记录,则唯一考虑的是可以接受多字符串记录并支持 2048 位的接收服务器。
如果由于某种原因,存在无法读取记录或支持大于 1024 位的接收服务器,那么您可以根据需要(例如每天)使用关联的新选择器创建新的 DKIM 密钥,从而使密钥的概率被泄露的几率非常低,因为消息通常会在收到后几秒钟内得到验证。
还有 Ed25519 密钥选项,但接收服务器尚未广泛支持。
如果您的用例是通过各种反垃圾邮件测试的工作证明,那么如果 2048 位引起问题,您可能可以使用 1024 位。仍然有大公司使用 1024 位,尤其是 Substack,我知道我也见过其他公司。
最后但并非最不重要的一点是,DKIM 标准支持多个签名标头,因此根据服务器开销,您可以使用多个签名进行签名,并且接收服务器可以选择要针对哪个签名进行身份验证。
| 归档时间: |
|
| 查看次数: |
8994 次 |
| 最近记录: |