Чи можу я розумно використовувати SHA-256 для розгортання DNSSEC?

Я знаю, що RFC 5702 документує використання SHA-2 в DNSSEC, і що RFC 6944 визначає RSA / SHA-256 як "рекомендовану для впровадження". Чого я не знаю - це те, наскільки широко реалізована SHA-256 у валідації резолюцій.

Чи підписувати Інтернет-зони (ті, що мене особливо цікавлять, це .orgдомени) за допомогою SHA-256, або я роблю свою зону неперевіреною для великих ділянок Інтернету, відомого про DNSSEC?

Чи можна в подальшому змінювати розклади ключів із хеш-зміною, щоб зберегти той самий рівень безпеки (наприклад, чи можу я обійтись за допомогою SHA-1, маючи коротші розклади ключів)?

Сама коренева зона (ака .) підписана з RSA / SHA256 (KSK, а також ZSK є RSA / SHA256).

Таким чином, перевіряючий дозвіл, який не підтримує RSA / SHA256, буде в основному марним в Інтернеті, оскільки він не зможе перевірити повний ланцюг.

Я думаю, що вам безпечно припустити, що RSA / SHA256 підтримується.

http://dnsviz.net/d/org/dnssec/ може забезпечити корисну візуалізацію клавіш, які використовуються до orgзони.