DNSSEC – leak-:# /var/log/beenull

Coś mi to nie śmiga jak należy, to znaczy działa ale mam błąd który pojawia się jak testuję domenę a dokładnie taki:

beenull.com/DS (alg 8, id 22994): DNSSEC specification prohibits signing with DS records that use digest algorithm 1 (SHA-1).

Jest to w formie rekomendacji ale jak by nie patrzeć jest to błąd i to mój błąd o który nie zadbałem. Zastanawiam się jak to wszystko odkręcić a dokładnie jak przejść na podpisaną strefę z innym algorytmem. Czysto teoretycznie by domena nie oberwała powinienem usunąć dnssec a dokładnie usunąć klucz SHA-1 tam gdzie posiadam domenę. Właściwie to już to zrobiłem! Ciekawe czy to zadziała według tego schematu działania. Plan jest a jak będzie zobaczymy …

Tak dla pamięci zalecany DNSKEY algorithms [DNSKEY-IANA]:

Wszystko niby pięknie bo obecnie używam RSASHA256 (8) ale rekomendowany według tabeli powyżej jest ED25519 ,którego i tak panel Plesk nie obsługuje bo jedyny wybór mam taki:

RSAMD5 ,RSASHA1 ,RSASHA256 ,RSASHA512 ,DSA ,ECCGOST ,ECDSAP256SHA256 ,ECDSAP384SHA384 ,NSEC3RSASHA1 ,NSEC3DSA

Idąc tym torem najlepiej by było wybrać ECDSAP384SHA384 (14) natomiast ECDSAP256SHA256 (13) rekomenduje cloudflare ,który może jest złym przykładem patrząc na prywatność (kiedyś to rozwinę) w ich usługach ale jeszcze poszukam zanim podejmę ostateczną decyzję. Jeżeli ktoś odrobinę siedzi w temacie i język angielski pozwala mu na zapoznanie się z tekstem to ciekawie jest to opisane tu:

http://www.watersprings.org/pub/id/draft-fanf-dnsop-sha-ll-not-00.html

https://www.dns.cam.ac.uk/news/2020-01-09-sha-mbles.html

https://mailarchive.ietf.org/arch/msg/dnsop/hA4Ur9qxRJIUo13Pjpmrm_va7cs/