web-dev-qa-db-ja.com

DNSSEC-DSレコードは普通ですか?

ドメインレジストラにデポジットするには、2つのDSレコードが必要だと思いました。しかし、1つの大きなdnsプロバイダーから1つのDSレコードが提供されました。VerisignDNSSECデバッガーによるとすべてが正しいですが、dnssec-keygen(DNSSECキー生成ツール)が常に2つのDSレコードを提供してくれたので、混乱しています。疑問があります。

2
user1091344

2つのDSレコードを取得する場合、基本的には、一方に SHA-1 ハッシュが含まれ、もう一方に SHA-256 ハッシュが含まれているためです。 。 DSレコードのテキスト表現の3番目の整数を見てください。 1はSHA-1を意味し、2はSHA-256を意味します

両方のタイプが存在する場合、検証者は、理解できる最も強力なタイプを使用する必要がありますが、好きなタイプを使用できます。つまり、検証者は、サポートしている場合はSHA-256を使用し、そうでない場合はSHA-1を使用します。

DSレコードのSHA-1バージョンは、SHA-256を理解しない古いベリファイアをサポートするためにのみ存在する必要があります。このようなベリファイアはほとんどないので、SHAだけで問題ないはずです。 -256 DSレコード。

SHA-1レコードのみを提供し、SHA-256レコードを提供しない場合は、SHA-256レコードを要求するのが理想的ですが、あまり心配する必要はありません。今のところ、SHA-1はおそらくまだ受け入れられます。

4
Celada