2. Backwards Compatibility
2. Backwards Compatibility
Cette spécification décrit un changement de protocole qui n'est en général pas rétrocompatible avec [RFC4033], [RFC4034] et [RFC4035]. En particulier, les résolveurs sensibles à la sécurité qui ignorent cette spécification (résolveurs « NSEC3-unaware ») peuvent échouer à valider les réponses introduites par ce document.
Afin de faciliter le déploiement, cette spécification utilise une technique de signalisation pour empêcher les résolveurs NSEC3-unaware de tenter de valider les réponses des zones signées NSEC3.
Cette spécification alloue deux identifiants d'algorithme DNSKEY supplémentaires à cette fin. L'algorithme 6, DSA-NSEC3-SHA1, est un alias de l'algorithme 3, DSA. L'algorithme 7, RSASHA1-NSEC3-SHA1, est un alias de l'algorithme 5, RSASHA1. Il ne s'agit pas de nouveaux algorithmes, mais d'identifiants supplémentaires pour les algorithmes existants.
Les zones signées conformément à cette spécification DOIVENT utiliser uniquement ces identifiants d'algorithme pour leurs RR DNSKEY. Comme ces nouveaux identifiants seront des algorithmes inconnus pour les résolveurs NSEC3-unaware existants, ceux-ci traiteront alors les réponses de la zone signée NSEC3 comme non sécurisées, comme détaillé à la section 5.2 de [RFC4035].
Ces identifiants d'algorithme sont utilisés avec l'algorithme de hachage NSEC3 SHA1. L'emploi d'autres algorithmes de hachage NSEC3 exige l'allocation d'un nouvel alias (voir la section 12.1.3).
Les résolveurs sensibles à la sécurité qui connaissent cette spécification DOIVENT reconnaître les nouveaux identifiants d'algorithme et les traiter comme équivalents aux algorithmes qu'ils aliasent.
Une méthode pour passer d'une zone signée DNSSEC à une zone signée avec NSEC3 est abordée à la section 10.4.