我使用 Google Domains 并且刚刚在 A2 Hosting 开设了一个帐户。我想继续使用 DNSSEC。A2 Hosting 要求我“请打开支持票并提供以下信息:
DS 记录摘要摘要类型算法公钥密钥标记标志"
我知道如何将这些放入 Google,但是从 A2 请求的好的默认设置是什么?
AskOverflow.Dev
我使用 Google Domains 并且刚刚在 A2 Hosting 开设了一个帐户。我想继续使用 DNSSEC。A2 Hosting 要求我“请打开支持票并提供以下信息:
DS 记录摘要摘要类型算法公钥密钥标记标志"
我知道如何将这些放入 Google,但是从 A2 请求的好的默认设置是什么?
关于谁是哪个角色并需要问题中的哪些信息似乎有些混乱,我将尝试更笼统地解决潜在的问题:
与您的问题相关的各方
签名者
签名者(通常是 DNS 托管提供商,可能恰好与注册商是同一实体,因为许多注册商也提供相关服务)需要创建密钥并签署区域。
注册商
注册商需要获取有关作为区域签名入口点 (KSK/CSK) 的密钥的信息,以便他们可以
DS在 TLD 区域中添加一条记录,告诉全世界该区域已签名以及已签名的密钥和。问题中提到的信息
DS Record Digest Digest Type Algorithm Public Key Key Tag Flags,是注册商添加上述DS记录所需要的信息。这些直接派生自签名者使用的 KSK/CSK 密钥。DNSSEC 关键算法/参数
创建密钥时要考虑的主要事项是DNSSEC 算法,对于一些可变的算法,密钥长度也是如此。
如果密钥创建是由某些托管服务提供商处理的,他们甚至可能不会给你选择,但如果他们允许你选择或者如果你自己运行,你需要选择算法。
与所有加密货币一样,最佳实践算法选择会随着时间而发展,因此我将参考rfc8624 的算法选择部分(本文档来自 2019 年并且仍然相关,考虑最终将替换此文档的未来文档)作为其快照情况。
总结 rfc8624 的算法选择部分,
ECDSAP256SHA256(13) 是当前对 DNSSEC 密钥的建议。(在所有较旧的算法中,
RSASHA256(8) 是唯一仍然拥有强大地位的算法,但在逐渐淘汰的过程中也很大程度上考虑了这一点。)至于 DS 算法(
DS记录是如何从密钥中导出的),目前的建议是SHA-256(2)。