Hola, Hugo.
Agrego que SHA-1 debería salir de circulación con los DS. EN particular el algoritmo 1. EN vez de ese, usar ya sea el 2 (SHA-256) o el 4 (SHA-384). Nuestros (.cr) DS, se firman con el 2 .
Saludos,
Mario Guerra
El 27/1/20 a las 11:06, Hugo Salgado via dns-esp escribió:
Hola amigos del DNS. Quería hacer una pequeña advertencia que ya llegó el momento de dejar de usar SHA-1 para las llaves que se usan para firmar con DNSSEC. Esto quiere decir que los algoritmos 5 y 7 ya deberían ir dejándose de usar, para pasar al 8, 10, 13, etc.
Para detectar el algorimo basta con:
$ dig <dominio> dnskey +short
y fijarse en la tercera cifra.
Acá hay un artículo con un poco más de información y enlaces: https://blog.nic.cl/2020/01/hora-de-discontinuar-sha-1-en-dnssec.html
Saludos,
Hugo
dns-esp mailing list dns-esp@listas.nic.clmailto:dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp