web-dev-qa-db-ja.com

RSASHA256またはNSEC3 *のみのNSEC3リソースレコード?

RSASHA256キーでNSEC3リソースレコードを使用することは可能ですか、それともNSEC3ではNSEC3RSASHA1またはNSEC3DSAキーを使用する必要がありますか?

1
smares

_RSASHA1_が_NSEC3_と一緒に使用するために別個の識別子を割り当てられた理由は、_RSASHA1_が定義され、_NSEC3_が存在する前にすでに長い間使用されていたためです。
したがって、_NSEC3_を導入するとき、_RSASHA1_の動作を拡張しないために、 互換性に最適 既存の展開済みソフトウェアと見なされましたが更新された仕様を完全に新しいアルゴリズム_RSASHA1-NSEC3-SHA1_として提示します。これは、既存のソフトウェアが_NSEC3_ゾーンでNSECのみのコードを誤って使用する代わりに、サポートしていないことを明確に認識します。

_RSASHA256__ECDSAP256SHA256_ などの後のアルゴリズムが導入されたとき、これらには、最初から_NSEC3_のサポートが含まれています。

割り当てられたDNSSECアルゴリズムのリスト でわかるように、新しいアルゴリズムには_NSEC3_のバリエーションはありません。

2