<div dir="ltr">Hello.<div>Thank you very much. <div><br></div></div><div>Best regards</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em seg., 12 de jun. de 2023 às 14:06, Viktor Dukhovni <<a href="mailto:ietf-dane@dukhovni.org">ietf-dane@dukhovni.org</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, Jun 12, 2023 at 10:41:12AM -0400, Viktor Dukhovni wrote:<br>
<br>
> On Mon, Jun 12, 2023 at 10:37:22AM -0300, daniel majela wrote:<br>
> <br>
> > What is the best algorithm for ksk and zsk?<br>
> <br>
> The BCP algorithm is ECDSAP256SHA256(13).  This is both more secure and<br>
> more compact than RSA.  It is in wide use:<br>
> <br>
>     <a href="https://stats.dnssec-tools.org/" rel="noreferrer" target="_blank">https://stats.dnssec-tools.org/</a><br>
>     <a href="https://stats.dnssec-tools.org/#/?dnssec_param_tab=0" rel="noreferrer" target="_blank">https://stats.dnssec-tools.org/#/?dnssec_param_tab=0</a><br>
> <br>
> Today, out of 22,010,850 known signed zones, the number with algorithm<br>
> 14 KSKs is 9,982,219 or just over 45%.<br>
> <br>
> If you choose NSEC3, set the additional iteration count to 0, and avoid<br>
> opt-out unless you're operating a particularly large (10M+ delegations)<br>
> zone that is thinly signed.  An empty salt is also sensible.<br>
<br>
I was reminded off-list that I neglected to recommend NSEC as the BCP<br>
default choice for end-user zones.  Much simpler than NSEC3, and again<br>
smaller response sizes.<br>
<br>
In addition, best to optimise for "agility": keep your TTLs reasonably<br>
short, rarely more than one hour, and ideally shorter.  That way, if<br>
anything does go wrong, you should be able to recover faster.<br>
<br>
You don't currently get to choose (through your registrar) the TTL of<br>
the DS RRs in the parent zone, perhaps some day...  In the mean time,<br>
many registry now default DS TTLs to 1 hour or less.  Some still have<br>
DS TTLs as high as one day.<br>
<br>
-- <br>
    Viktor.<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div><br clear="all"><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Daniel Majela Galvão<br><a href="http://br.linkedin.com/pub/daniel-souza/6/1b1/774" title="Visualizar perfil público" name="SignatureSanitizer_SafeHtmlFilter_UNIQUE_ID_SafeHtmlFilter_webProfileURL" target="_blank">http://br.linkedin.com/pub/daniel-souza/6/1b1/774</a><br><br>(55-012) - 9-8201-9885<br>(55-012) - 9-9761-1511<br>(55-012) - 32076909<br></div></div></div>