2. Backwards Compatibility (Abwärtskompatibilität)
2. Backwards Compatibility (Abwärtskompatibilität)
Diese Spezifikation beschreibt eine Protokolländerung, die im Allgemeinen nicht abwärtskompatibel zu [RFC4033], [RFC4034] und [RFC4035] ist. Insbesondere können sicherheitsbewusste Resolver, die diese Spezifikation nicht kennen (NSEC3-unaware resolvers), die in diesem Dokument eingeführten Antworten nicht validieren.
Um den Einsatz zu erleichtern, verwendet diese Spezifikation eine Signalisierungstechnik (signaling technique), um zu verhindern, dass NSEC3-unaware-Resolver versuchen, Antworten aus NSEC3-signierten Zonen zu validieren.
Diese Spezifikation weist zu diesem Zweck zwei neue DNSKEY-Algorithmus-Identifikatoren zu. Algorithmus 6, DSA-NSEC3-SHA1, ist ein Alias für Algorithmus 3, DSA. Algorithmus 7, RSASHA1-NSEC3-SHA1, ist ein Alias für Algorithmus 5, RSASHA1. Es handelt sich nicht um neue Algorithmen, sondern um zusätzliche Identifikatoren für die bestehenden Algorithmen.
Zonen, die gemäß dieser Spezifikation signiert sind, DÜRFEN ausschließlich diese Algorithmus-Identifikatoren für ihre DNSKEY RRs verwenden. Da diese neuen Identifikatoren für bestehende, NSEC3-unaware-Resolver unbekannte Algorithmen sind, behandeln diese Resolver Antworten aus der NSEC3-signierten Zone als unsicher (insecure), wie in Abschnitt 5.2 von [RFC4035] ausgeführt.
Diese Algorithmus-Identifikatoren werden mit dem NSEC3-Hash-Algorithmus SHA1 verwendet. Die Verwendung anderer NSEC3-Hash-Algorithmen erfordert die Zuweisung eines neuen Alias (siehe Abschnitt 12.1.3).
Sicherheitsbewusste Resolver, die diese Spezifikation kennen, MÜSSEN die neuen Algorithmus-Identifikatoren erkennen und sie als gleichwertig zu den Algorithmen behandeln, für die sie Aliase sind.
Eine Methodik für den Übergang von einer DNSSEC-signierten Zone zu einer mit NSEC3 signierten Zone wird in Abschnitt 10.4 erörtert.