<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>
</head>
<body dir="ltr">
<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 14pt; color: rgb(0, 0, 0);">
Our preference would be to at least allow SHA-384 and SHA-512 per the CNSA 2.0 requirements:
<a href="https://media.defense.gov/2022/Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF" id="LPlnkOWA3bfb6ee6-f6b2-eed1-c619-6007d84696ca" class="OWAAutoLink">
CSA_CNSA_2.0_ALGORITHMS_.PDF (defense.gov)</a> </div>
<div id="Signature" class="elementToProof">
<p style="direction: ltr; margin-top: 0px; margin-bottom: 0px;"><span style="font-family: Calibri, Helvetica, sans-serif; font-size: 14pt; color: rgb(0, 0, 0);"><br>
</span></p>
<p style="direction: ltr; margin-top: 0px; margin-bottom: 0px;"><span style="font-family: Calibri, Helvetica, sans-serif; font-size: 14pt; color: rgb(0, 0, 0);">My understanding is this will be the base requirement for all US Government cryptography.</span></p>
<p style="direction: ltr; margin-top: 0px; margin-bottom: 0px;"><span style="font-family: Calibri, Helvetica, sans-serif; font-size: 14pt; color: rgb(0, 0, 0);"><br>
</span></p>
<p style="direction: ltr; margin-top: 0px; margin-bottom: 0px;"><span style="font-family: Calibri, Helvetica, sans-serif; font-size: 14pt; color: rgb(0, 0, 0);">RW</span></p>
</div>
<div id="appendonsend"></div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> bind-users <bind-users-bounces@lists.isc.org> on behalf of Danilo Godec via bind-users <bind-users@lists.isc.org><br>
<b>Sent:</b> Wednesday, October 16, 2024 8:00 AM<br>
<b>To:</b> bind-users@lists.isc.org <bind-users@lists.isc.org><br>
<b>Subject:</b> DS digest type(s)</font>
<div> </div>
</div>
<div class="BodyFragment"><font size="2"><span style="font-size:11pt;">
<div class="PlainText">This email originated from outside of TESLA<br>
<br>
Do not click links or open attachments unless you recognize the sender and know the content is safe.<br>
<br>
Hi,<br>
<br>
<br>
I've been doing some more reading into DNSSEC and if I understand<br>
correctly, it is allowed to have multiple DS records for one KSK - with<br>
different digest types. Apparently, SHA-1 is deprecated and shouldn't be<br>
used anymore, while SHA-256 is mandatory and has to exist.<br>
<br>
That leaves SHA-384, which is optional and I can generate manually with<br>
'dnssec-dsfromkey'. Since I have to ask my registrar to add DS records<br>
to parent zones (.eu in this case), I can just send them both records,<br>
right?<br>
<br>
<br>
Is it also possible to have dnssec-policy to generate both digest types<br>
as CDS records?<br>
<br>
<br>
     Regards,<br>
<br>
     Danilo<br>
<br>
<br>
--<br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at
<a href="https://www.isc.org/contact/">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
bind-users@lists.isc.org<br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</div>
</span></font></div>
</body>
</html>