2. Deprecating ECC-GOST Algorithms in DNSSEC (Veraltung von ECC-GOST-Algorithmen in DNSSEC)

Der Algorithmus GOST R 34.11-94 [RFC5933] DARF NICHT bei der Erstellung von Delegation Signer (Delegationssignierer, DS) Einträgen verwendet werden. Validierende Resolver MÜSSEN GOST R 34.11-94 DS-Einträge als unsicher behandeln. Wenn keine anderen DS-Einträge mit akzeptierten kryptografischen Algorithmen verfügbar sind, MÜSSEN die DNS-Einträge unterhalb des Delegationspunkts als unsicher behandelt werden.

Der Algorithmus GOST R 34.10-2001 [RFC5933] (Mnemonik "ECC-GOST") DARF NICHT bei der Erstellung von DNS Public Key (Öffentlicher DNS-Schlüssel, DNSKEY) und Resource Record Signature (Ressourceneintrag-Signatur, RRSIG) Einträgen verwendet werden. Validierende Resolver MÜSSEN RRSIG-Einträge, die aus DNSKEY-Einträgen mit diesen Algorithmen erstellt wurden, als nicht unterstützte Algorithmen behandeln. Wenn keine anderen RRSIG-Einträge mit akzeptierten kryptografischen Algorithmen verfügbar sind, MUSS der validierende Resolver die zugehörigen Ressourceneinträge als unsicher betrachten.

2. Deprecating ECC-GOST Algorithms in DNSSEC (Veraltung von ECC-GOST-Algorithmen in DNSSEC)​

2. Deprecating ECC-GOST Algorithms in DNSSEC (Veraltung von ECC-GOST-Algorithmen in DNSSEC)