क्या मैं किसी DNSSEC परिनियोजन में SHA-256 का यथोचित उपयोग कर सकता हूं?

मुझे पता है कि RFC 5702 DNSSEC में SHA-2 के उपयोग का दस्तावेज है, और RFC 6944 RSA / SHA-256 को "लागू करने के लिए अनुशंसित" के रूप में परिभाषित करता है। मुझे इस बारे में जानकारी नहीं है कि रिज़ॉल्वर को मान्य करने में SHA-256 कैसे व्यापक रूप से लागू है।

क्या .orgSHA-256 के साथ इंटरनेट ज़ोन (जो मुझे विशेष रूप से डोमेन में रुचि रखते हैं ) पर हस्ताक्षर करने के लिए व्यावहारिक है , या क्या मैं अपने क्षेत्र को DNSSEC- जागरूक इंटरनेट के बड़े swathes के लिए अपरिवर्तनीय बना रहा हूं?

एक अनुवर्ती के रूप में, क्या सुरक्षा के समान स्तर को बनाए रखने के लिए हैश परिवर्तन के साथ कुंजी शेड्यूल बदल सकते हैं (उदाहरण के लिए मैं SHA-1 का उपयोग करके मुख्य कुंजी शेड्यूल कर सकता हूं)?

रूट ज़ोन (उर्फ .) खुद RSA / SHA256 (KSK के साथ-साथ ZSK RSA / SHA256 हैं) पर हस्ताक्षर किए हैं।

इस प्रकार, एक वैध रिज़ॉल्वर जो RSA / SHA256 का समर्थन नहीं करता है, इंटरनेट पर ज्यादातर बेकार होगा क्योंकि यह पूरी श्रृंखला को मान्य करने में सक्षम नहीं होगा।

मुझे लगता है कि यह मान लेना आपके लिए सुरक्षित है कि RSA / SHA256 समर्थित है।

http://dnsviz.net/d/org/dnssec/org ज़ोन के उपयोग में कुंजियों का एक उपयोगी दृश्य प्रदान कर सकता है ।