Вопросы Теги

Какие настройки по умолчанию хороши для DNSSEC?

Я использую домены Google и только что открыл счет в A2 Hosting. Я хотел бы продолжать использовать DNSSEC. A2 Hosting требует от меня "Пожалуйста, откройте тикет поддержки и предоставьте следующую информацию:

DS Record Дайджест Тип дайджеста Алгоритм Открытый ключ Метка ключа Флаги"

Я вижу, как я могу ввести эти данные в Google, но какие параметры по умолчанию можно запросить у A2?

0
задан 22 February 2021 в 12:53
1 ответ

Кажется, есть некоторая путаница относительно того, кто и какую роль играет и какая информация нужна в вопросе, я просто попытаюсь ответить на основной вопрос (вопросы) в более общем плане:

Различные стороны, имеющие отношение к вашему вопросу

  • Подписавшая сторона
    Подписывающая сторона (обычно провайдер хостинга DNS, который по совпадению может быть тем же лицом, что и регистратор, поскольку многие регистраторы также предоставляют связанные услуги), должна создать ключи и подписать зону.

  • Регистратор
    Регистратору необходимо получить информацию о ключе, который является точкой входа для подписи зоны (KSK / CSK), чтобы он мог добавить запись DS в зоне TLD, сообщая миру, что зона подписана и каким ключом она подписана.

Информация, упомянутая в вопросе, Флаги тега открытого ключа алгоритма типа дайджеста записи DS - это то, что регистратору необходимо для добавления вышеупомянутой записи DS . Они напрямую извлекаются из ключа KSK / CSK, используемого подписывающей стороной.

Ключевые алгоритмы / параметры DNSSEC

Главное, что следует учитывать при создании ключей, - это алгоритм DNSSEC , а для некоторых алгоритмов, где он является переменным, также длина ключа.
Если созданием ключа занимается какой-либо хостинг-провайдер, он может даже не предоставить вам выбор, но если он позволяет вам выбирать или если вы используете свой собственный, вам нужно выбрать алгоритм. .

Как и в случае с любой другой криптовалютой, выбор оптимального алгоритма со временем меняется, поэтому я буду ссылаться на раздел Выбор алгоритма rfc8624 (этот документ датирован 2019 годом и все еще актуален, рассмотрите будущие документы, которые в конечном итоге будут замените этот) в качестве снимка для этой ситуации.

Подводя итоги раздела выбора алгоритма rfc8624, ECDSAP256SHA256 (13) является текущей рекомендацией для ключей DNSSEC.
(Из всех старых алгоритмов RSASHA256 (8) - единственный, который все еще имеет высокий статус, но также в значительной степени рассматривается в процессе постепенного поэтапного внедрения вне.)

Что касается алгоритмов DS (как запись DS получается из ключа), текущая рекомендация - SHA-256 (2).

3
ответ дан 24 April 2021 в 01:27

Теги

Похожие вопросы