Hola amigos del DNS. Quería hacer una pequeña advertencia que ya llegó el momento de dejar de usar SHA-1 para las llaves que se usan para firmar con DNSSEC. Esto quiere decir que los algoritmos 5 y 7 ya deberían ir dejándose de usar, para pasar al 8, 10, 13, etc.
Para detectar el algorimo basta con:
$ dig <dominio> dnskey +short
y fijarse en la tercera cifra.
Acá hay un artículo con un poco más de información y enlaces: https://blog.nic.cl/2020/01/hora-de-discontinuar-sha-1-en-dnssec.html
Saludos,
Hugo