Vyšel nový standard RFC 8624, definující požadavky na podporu různých kryptografických algoritmů pro DNSSEC. Jeho autory jsou Paul Wouters ze společnosti Red Hat a Ondřej Surý z ISC. Reflektuje postupný odklon od algoritmů založených na RSA, které jsou postupně nahrazovány algoritmy založenými na eliptických křivkách, konkrétně NIST P.256. Na ten přešla i česká doména nejvyšší úrovně, jde také o nejpoužívanější algoritmus českých domén druhé úrovně. Doporučení algoritmů shrnuje následující tabulka:
| číslo | název | podpora podepisování | podpora validování |
|---|---|---|---|
| 1 | RSAMD5 | NESMÍ | NESMÍ |
| 3 | DSA | NESMÍ | NESMÍ |
| 5 | RSASHA1 | NEDOPORUČENO | MUSÍ |
| 6 | DSA-NSEC3-SHA1 | NESMÍ | NESMÍ |
| 7 | RSASHA1-NSEC3-SHA1 | NEDOPORUČENO | MUSÍ |
| 8 | RSASHA256 | MUSÍ | MUSÍ |
| 10 | RSASHA512 | NEDOPORUČENO | MUSÍ |
| 12 | ECC-GOST | NESMÍ | MŮŽE |
| 13 | ECDSAP256SHA256 | MUSÍ | MUSÍ |
| 14 | ECDSAP384SHA384 | MŮŽE | DOPORUČENO |
| 15 | ED25519 | DOPORUČENO | DOPORUČENO |
| 16 | ED448 | MŮŽE | DOPORUČENO |
Z algoritmů založených na RSA je na autoritativní straně povinná pouze podpora algoritmu RSASHA256, který je mimo jiné použit pro podpis kořenové zóny. Na straně validátoru je doporučení konzervativnější a nařizuje podporovat i ostatní široce používané algoritmy. Podporu jednotlivých algoritmů ve validátoru lze snadno zkontrolovat například webovým testem z projektu Root Canary.
Standard také doporučuje podporu pro nové eliptické křivky Ed25519 a Ed448, kterými budou v budoucnu nejspíše křivky z dílny NIST nahrazeny. Specifikován je také doporučený algoritmus otisku veřejného klíče v nadřazené zóně – měl by jím být SHA-256; validátory však musí podporovat i SHA-1.
ČLÁNKY DO MAILU