Thuban : [/!\\] DNSSEC : Ne plus utiliser SHA1 [/!\\]
vendredi 24 janvier 2020 à 18:37Bonsoir,
Pour tous ceux qui gèrent leur(s) zone(s) DNS ainsi que DNSSEC, changez vos paramètres de clé pour ne plus utiliser SHA-1 !
Préférez l'un des deux algorithmes suivants - concernant les clés DNS :
- à minima : ECDSAP256SHA256
- recommandé : ED25519
- le mieux : ED448
- ou au pire : RSASHA256 avec une clé minimale de 2048 bits - NE PAS UTILISER RSASHA512 !
Quant à l'algorithme pour DS, et CDS, il est fortement recommandé l'utilisation de SHA-384, même si SHA-256 peut être envisagé à minima.
Une fois vos paramètres de configuration changés, re-générez toutes vos clés KSK et ZSK !!!
source
RFC 8624
----
PS : Au fait : non NSEC3 n'est pas ce qui se fait de mieux
Pour tous ceux qui gèrent leur(s) zone(s) DNS ainsi que DNSSEC, changez vos paramètres de clé pour ne plus utiliser SHA-1 !
Préférez l'un des deux algorithmes suivants - concernant les clés DNS :
- à minima : ECDSAP256SHA256
- recommandé : ED25519
- le mieux : ED448
- ou au pire : RSASHA256 avec une clé minimale de 2048 bits - NE PAS UTILISER RSASHA512 !
Quant à l'algorithme pour DS, et CDS, il est fortement recommandé l'utilisation de SHA-384, même si SHA-256 peut être envisagé à minima.
Une fois vos paramètres de configuration changés, re-générez toutes vos clés KSK et ZSK !!!
source
RFC 8624
----
PS : Au fait : non NSEC3 n'est pas ce qui se fait de mieux
Original post of Thuban.Votez pour ce billet sur Planet Libre.
