คำถามติดแท็ก dnssec

ฉันวางแผนที่จะลงนามโซน DNS ของฉันกับ DNSSEC โซนของฉันผู้รับจดทะเบียนและเซิร์ฟเวอร์ DNS ของฉัน (BIND9) สนับสนุน DNSSEC ทั้งหมด ผู้เดียวที่ไม่สนับสนุน DNSSEC คือผู้ให้บริการ nameserver สำรองของฉัน (คือbuddyns.com ) บนเว็บไซต์ของพวกเขาพวกเขาระบุเรื่องนี้เกี่ยวกับ DNSSEC: BuddyNS ไม่รองรับ DNSSEC เพราะจะทำให้เกิดช่องโหว่บางอย่างที่ไม่เหมาะสมกับบริการ DNS ระดับสูง ฉันคิดว่าการใช้ DNSSEC นั้นเป็นปัญหาอย่างหนึ่งเนื่องจากผู้แก้ไขส่วนใหญ่ไม่ตรวจสอบว่ามีการลงชื่อบันทึกอย่างถูกต้องหรือไม่ สิ่งที่ฉันไม่ทราบก็คือ - ตามคำแถลงของพวกเขา - ดูเหมือนว่าการให้มันจะทำให้เกิดช่องโหว่ด้านความปลอดภัยบางประเภท ช่องโหว่เหล่านั้นคืออะไร?

28 domain-name-system  security  dnssec  vulnerabilities 

ฉันรู้ว่าRFC 5702บันทึกการใช้ SHA-2 ใน DNSSEC และRFC 6944กำหนด RSA / SHA-256 ว่า "แนะนำให้ใช้งาน" สิ่งที่ฉันไม่ทราบคือ SHA-256 ที่นำไปใช้อย่างกว้างขวางในการตรวจสอบตัวแก้ไขปัญหาได้อย่างไร การลงชื่อโซนอินเทอร์เน็ต (ที่ฉันสนใจเป็นพิเศษคือ.orgโดเมน) กับ SHA-256 หรือฉันทำให้โซนของฉันไม่สามารถพิสูจน์ได้ว่ามีการใช้อินเทอร์เน็ตจำนวนมากในการตระหนักถึง DNSSEC หรือไม่ จากการติดตามกำหนดการสำคัญสามารถเปลี่ยนแปลงได้ด้วยการเปลี่ยนแปลงแฮชเพื่อรักษาความปลอดภัยในระดับเดียวกัน (เช่นฉันสามารถแก้ไขด้วยการใช้ SHA-1 โดยมีการกำหนดเวลาคีย์สั้นลงได้หรือไม่)

10 security  dnssec