Hola, Hugo.

Agrego que SHA-1 debería salir de circulación con los DS. EN particular el algoritmo 1. EN vez de ese, usar ya sea el 2 (SHA-256) o el 4 (SHA-384). Nuestros (.cr) DS, se firman con el 2 .

Saludos,

Mario Guerra


El 27/1/20 a las 11:06, Hugo Salgado via dns-esp escribió:
Hola amigos del DNS.
Quería hacer una pequeña advertencia que ya llegó el momento
de dejar de usar SHA-1 para las llaves que se usan para
firmar con DNSSEC. Esto quiere decir que los algoritmos 5 y
7 ya deberían ir dejándose de usar, para pasar al 8, 10,
13, etc.

Para detectar el algorimo basta con:

  $ dig <dominio> dnskey +short

y fijarse en la tercera cifra.

Acá hay un artículo con un poco más de información y enlaces:
  https://blog.nic.cl/2020/01/hora-de-discontinuar-sha-1-en-dnssec.html

Saludos,

Hugo



_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp