
<div dir="ltr"><div dir="ltr">The only defined and IANA registered NSEC3 hash algorithm right now is SHA-1. See Sections 3.1.1 and 11 in RFC 5155.<div><br></div><div><a href="https://www.iana.org/assignments/dnssec-nsec3-parameters/dnssec-nsec3-parameters.xhtml#dnssec-nsec3-parameters-3">https://www.iana.org/assignments/dnssec-nsec3-parameters/dnssec-nsec3-parameters.xhtml#dnssec-nsec3-parameters-3</a><br></div><div><br></div><div>So I'm not sure what you're interpreting as using MD5. I don't use PowerDNS in any context, so can't comment on it specifically.</div><div><br></div><div>Scott</div></div></div><br><div class="gmail_quote"><div dir="ltr">On Sat, Dec 1, 2018 at 6:07 AM James Stevens <<a href="mailto:James.Stevens@jrcs.co.uk">James.Stevens@jrcs.co.uk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">We're trying to set up a DNSSEC DNS Master that is FIPS-140 compliant. <br>

Our preference is to use NSEC3.<br>

<br>

Our main problem right now is that MD5 is universally banned under <br>

FIPS-140. The OpenSSL FIPS module simply blocks its use completely.<br>

<br>

Although the "default" hashing algorithm for NSEC3 is MD5, there is the <br>

option (in the RFC) to use others, but my feeling is that using MD5 is <br>

*so* prevalent that using a different hashing algorithm could cause <br>

validation issues on /some/ servers. I have no evidence for this - its <br>

just my gut instinct.<br>

<br>

I notice dot-GOV and dot-MIL both use MD5 and would think their signing <br>

would be FIPS-140?? But that's just a guess.<br>

<br>

We are looking at switching to NSEC, but right now, even that doesn't <br>

work for PowerDNS without MD5 support - I need to check the code to see <br>

why not.<br>

<br>

<br>

Has anybody else faced this?<br>

Any advice / comments?<br>

<br>

<br>

<br>

James<br>

_______________________________________________<br>

dns-operations mailing list<br>

<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>

<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>

dns-operations mailing list<br>

<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>

</blockquote></div>