ฉันสามารถใช้ SHA-256 ในการปรับใช้ DNSSEC ได้หรือไม่

ฉันรู้ว่าRFC 5702บันทึกการใช้ SHA-2 ใน DNSSEC และRFC 6944กำหนด RSA / SHA-256 ว่า "แนะนำให้ใช้งาน" สิ่งที่ฉันไม่ทราบคือ SHA-256 ที่นำไปใช้อย่างกว้างขวางในการตรวจสอบตัวแก้ไขปัญหาได้อย่างไร

การลงชื่อโซนอินเทอร์เน็ต (ที่ฉันสนใจเป็นพิเศษคือ.orgโดเมน) กับ SHA-256 หรือฉันทำให้โซนของฉันไม่สามารถพิสูจน์ได้ว่ามีการใช้อินเทอร์เน็ตจำนวนมากในการตระหนักถึง DNSSEC หรือไม่

จากการติดตามกำหนดการสำคัญสามารถเปลี่ยนแปลงได้ด้วยการเปลี่ยนแปลงแฮชเพื่อรักษาความปลอดภัยในระดับเดียวกัน (เช่นฉันสามารถแก้ไขด้วยการใช้ SHA-1 โดยมีการกำหนดเวลาคีย์สั้นลงได้หรือไม่)

รูทโซน (aka .) นั้นถูกเซ็นชื่อด้วย RSA / SHA256 (KSK และ ZSK คือ RSA / SHA256)

ดังนั้นตัวแก้ไขการตรวจสอบความถูกต้องที่ไม่รองรับ RSA / SHA256 นั้นส่วนใหญ่จะไม่มีประโยชน์บนอินเทอร์เน็ตเนื่องจากมันจะไม่สามารถตรวจสอบความถูกต้องของโซ่

ฉันคิดว่ามันปลอดภัยสำหรับคุณที่จะสมมติว่ารองรับ RSA / SHA256

http://dnsviz.net/d/org/dnssec/อาจให้ภาพที่เป็นประโยชน์ของปุ่มที่ใช้งานได้ถึงorgโซน