Я использую домены Google и только что открыл счет в A2 Hosting. Я хотел бы продолжать использовать DNSSEC. A2 Hosting требует от меня "Пожалуйста, откройте тикет поддержки и предоставьте следующую информацию:
DS Record Дайджест Тип дайджеста Алгоритм Открытый ключ Метка ключа Флаги"
Я вижу, как я могу ввести эти данные в Google, но какие параметры по умолчанию можно запросить у A2?
Кажется, есть некоторая путаница относительно того, кто и какую роль играет и какая информация нужна в вопросе, я просто попытаюсь ответить на основной вопрос (вопросы) в более общем плане:
Подписавшая сторона
Подписывающая сторона (обычно провайдер хостинга DNS, который по совпадению может быть тем же лицом, что и регистратор, поскольку многие регистраторы также предоставляют связанные услуги), должна создать ключи и подписать зону.
Регистратор
Регистратору необходимо получить информацию о ключе, который является точкой входа для подписи зоны (KSK / CSK), чтобы он мог добавить запись DS
в зоне TLD, сообщая миру, что зона подписана и каким ключом она подписана.
Информация, упомянутая в вопросе, Флаги тега открытого ключа алгоритма типа дайджеста записи DS
- это то, что регистратору необходимо для добавления вышеупомянутой записи DS
. Они напрямую извлекаются из ключа KSK / CSK, используемого подписывающей стороной.
Главное, что следует учитывать при создании ключей, - это алгоритм DNSSEC , а для некоторых алгоритмов, где он является переменным, также длина ключа.
Если созданием ключа занимается какой-либо хостинг-провайдер, он может даже не предоставить вам выбор, но если он позволяет вам выбирать или если вы используете свой собственный, вам нужно выбрать алгоритм. .
Как и в случае с любой другой криптовалютой, выбор оптимального алгоритма со временем меняется, поэтому я буду ссылаться на раздел Выбор алгоритма rfc8624 (этот документ датирован 2019 годом и все еще актуален, рассмотрите будущие документы, которые в конечном итоге будут замените этот) в качестве снимка для этой ситуации.
Подводя итоги раздела выбора алгоритма rfc8624, ECDSAP256SHA256
(13) является текущей рекомендацией для ключей DNSSEC.
(Из всех старых алгоритмов RSASHA256
(8) - единственный, который все еще имеет высокий статус, но также в значительной степени рассматривается в процессе постепенного поэтапного внедрения вне.)
Что касается алгоритмов DS (как запись DS
получается из ключа), текущая рекомендация - SHA-256
(2).