[GTER] NSEC e SHA256 - DNSSec Registro BR

Frederico A C Neves fneves at registro.br
Tue Feb 20 17:02:56 -03 2018


Leonardo,

On Tue, Feb 20, 2018 at 06:15:30PM +0000, Leonardo Oliveira Ortiz wrote:
> Olá, pessoal.
> Vocês sabem os requisitos para o DNSSEC usando registro.br?
> Gostaria implementar o DNSSEC aqui já com NSEC3 e RSASHA512 porém não sei se o Registro.br suporta..
> 

Para DNSKEY suportamos todas variações não descontinuadas de RSA e
ECDSA. [1]{5 6 7 8 10 13 14}

Para DS SHA-1 e SHA-256 [2]{1 2}

> Os tutoriais na página são antigos e a documentação do site (https://registro.br/tecnologia/dnssec-policy.html) não deixa claro para que são os requisitos.

Esta documentação fala da política de chaves das zonas do .br não dos
requisitos para suas delegações seguras. Vamos providenciar uma
melhorias.

Para verificar a compatibilidade da sua zona, antes de pedir a
delegação, efetue o teste nesta ferramenta.

https://registro.br/cgi-bin/nicbr/dscheck

Como indicação para a assinatura de uma nova zona o mais recomendável
hoje, pelos benefícios de segurança e desempenho, é o uso de ECDSA-P256.

Do ponto de vista criptográfico o melhor seriam as novas curvas
recomendadas pelo CFRG {Ed25519 Ed448} [3] mas o seu suporte em
resolvers ainda é marginal.

[]s
Fred

[1] https://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml
[2] https://www.iana.org/assignments/ds-rr-types/ds-rr-types.xhtml
[3] https://tools.ietf.org/html/rfc7748



More information about the gter mailing list