Имена селектора DKIM должны быть неотгадываемыми?
Я сказал бы, являются ли 3 часа времени простоя проблемой, то мелкомасштабный хостинг не то, в чем Вы нуждаетесь.
Вы должны взвесить pro's и недостатки шишки по сравнению со специализированным, и неизбежно собираетесь снизиться, который собирается стоить Вам больше, правильно решению для разработанного и управляемого хостинга, или время простоя без обращения за помощью, поскольку "облачные" поставщики не предлагают то же 100%-е время работы как с их специализированным решением.
Два преимущества:
- злоумышленник не сможет начать атаку, не обнаружив имя селектора (обычно наличие подписанного сообщения)
- вы можете опубликовать ключ и обеспечить его распространение в DNS перед он фактически используется с минимальным риском сокращения срок службы ключа.
Кажется, всего лишь (несколько слабый) дополнительный уровень защиты.
Я просмотрел документ и обнаружил, что автор (ы) не понимает распространение новых записей DNS. При обновлении старых записей можно настроить время кеширования, которое может составлять несколько дней. Однако новые записи должны быть получены с авторитетных серверов имен, прежде чем их можно будет кэшировать.
Если ключи меняются с помощью предлагаемого процесса ротации ключей за тремя CNAME, могут возникнуть значительные задержки при обновлении кэшированных записей. Это можно смягчить, отказавшись от записи TTL для обновления в период, предшествующий обновлению. Ротация CNAME также может быть проблематичной в случае, если требуется экстренная ротация ключа.
Рандомизация имен ключей обеспечивает некоторую небольшую степень защиты от открытого ключа, извлекаемого перед использованием. Как только ключ будет использован, я предполагаю, что он мог быть собран для генерации альтернативного ключа подписи.
новые записи должны быть получены с авторитетных серверов имен, прежде чем их можно будет кэшировать.Если ключи меняются с помощью предлагаемого процесса ротации ключей за тремя CNAME, могут быть значительные задержки при обновлении кэшированных записей. Это можно смягчить, отказавшись от записи TTL для обновления в период, предшествующий обновлению. Ротация CNAME также может быть проблематичной в случае, если требуется экстренная ротация ключа.
Рандомизация имен ключей обеспечивает некоторую небольшую степень защиты от открытого ключа, извлекаемого перед использованием. Как только ключ будет использован, я предполагаю, что он мог быть собран с целью создания альтернативного ключа подписи.
новые записи должны быть получены с авторитетных серверов имен, прежде чем их можно будет кэшировать.Если ключи меняются с помощью предлагаемого процесса ротации ключей за тремя CNAME, могут быть значительные задержки при обновлении кэшированных записей. Это можно смягчить, отказавшись от записи TTL для обновления в период, предшествующий обновлению. Ротация CNAME также может быть проблематичной в случае, если требуется экстренная ротация ключа.
Рандомизация имен ключей обеспечивает некоторую небольшую степень защиты от открытого ключа, извлекаемого перед использованием. Как только ключ будет использован, я предполагаю, что он мог быть собран для генерации альтернативного ключа подписи.
Если ключи меняются с помощью предлагаемого процесса ротации ключей за тремя CNAME, могут возникнуть значительные задержки при обновлении кэшированных записей. Это можно смягчить, отказавшись от записи TTL для обновления в период, предшествующий обновлению. Ротация CNAME также может быть проблематичной в случае, если требуется экстренная ротация ключа.
Рандомизация имен ключей обеспечивает некоторую небольшую степень защиты от открытого ключа, извлекаемого перед использованием. Как только ключ будет использован, я предполагаю, что он мог быть собран для генерации альтернативного ключа подписи.
Если ключи меняются с помощью предлагаемого процесса ротации ключей за тремя CNAME, могут возникнуть значительные задержки при обновлении кэшированных записей. Это можно смягчить, отказавшись от записи TTL для обновления в период, предшествующий обновлению. Ротация CNAME также может быть проблематичной в случае, если требуется экстренная ротация ключа.
Рандомизация имен ключей обеспечивает некоторую небольшую степень защиты от открытого ключа, извлекаемого перед использованием. Как только ключ будет использован, я предполагаю, что он мог быть собран для генерации альтернативного ключа подписи.
Ротация CNAME также может быть проблематичной в случае, если требуется экстренная ротация ключа.Рандомизация имен ключей обеспечивает некоторую небольшую степень защиты от открытого ключа, извлекаемого перед использованием. Как только ключ будет использован, я предполагаю, что он мог быть собран для генерации альтернативного ключа подписи.
Ротация CNAME также может быть проблематичной в случае, если требуется экстренная ротация ключа.Рандомизация имен ключей обеспечивает некоторую небольшую степень защиты от открытого ключа, извлекаемого перед использованием. Как только ключ будет использован, я предполагаю, что он мог быть собран для генерации альтернативного ключа подписи.
В текущей версии (Marchch 2019) руководства случайные имена для селекторов упоминаются только один раз, на изображении. Обзор изменений:
Предложенное соглашение об именовании ключей было переработано (раздел 5.1.3)
Раздел 4.2:
Соглашение об именовании с использованием дат вращения может помочь упорядочить селекторы.
Примером может быть: "продажи-201309-1024". Этот пример указывает на то, что он принадлежит к потоку электронных писем "sales", предназначен для вращения в активном режиме в сентябре 2013 г. и содержит ссылку на 1024-битный ключ.
На изображении в разделе 5.1 на заметке со ссылкой:
селектор может содержать длину ключа, дату, случайную строку
В разделе 5.1.1 указано:
...В этом селекторе должно быть достаточно информации для облегчения процесса вращения ключей.