10 我知道RFC 5702记录了DNSSEC中SHA-2的使用,并且RFC 6944将RSA / SHA-256定义为“建议实施”。我不知道的是SHA-256在验证解析器方面的实现程度。 .org使用SHA-256 对Internet区域(我最感兴趣的是域)进行签名是否可行,还是使我的区域无法被可识别DNSSEC的大量Internet所验证? 作为后续措施,密钥计划可以随哈希值更改而变化,以保持相同的安全级别(例如,我可以通过缩短密钥计划来解决SHA-1的问题)吗? security dnssec — 卡尔里昂 source
8 根区域(aka .)本身用RSA / SHA256签名(KSK和ZSK都是RSA / SHA256)。 因此,不支持RSA / SHA256的验证解析器在Internet上几乎是无用的,因为它无法验证整个链。 我认为假设您支持RSA / SHA256是安全的。 http://dnsviz.net/d/org/dnssec/可以提供对该org区域使用的密钥的有用可视化。 — 霍坎·林德奎斯特 source