Aller au contenu principal

1. Introduction

La sécurité de la protection fournie par l'algorithme SHA-1 [RFC3174] a progressivement diminué au fil du temps, diverses formes d'attaques ayant affaibli ses fondements cryptographiques. DNSSEC [RFC9364] (initialement défini dans [RFC3110]) a largement utilisé SHA-1, par exemple, comme algorithme de hachage cryptographique dans les enregistrements Resource Record Signature (RRSIG) et Delegation Signer (DS). Depuis lors, plusieurs autres algorithmes dotés d'une force cryptographique plus robuste sont devenus largement disponibles pour les enregistrements DS ainsi que pour les enregistrements RRSIG et DNS Public Key (DNSKEY) [RFC4034]. Les opérateurs sont encouragés à envisager de passer à l'un des algorithmes recommandés répertoriés dans les registres "DNS Security Algorithm Numbers" [DNSKEY-IANA] et "DNS Security Algorithm Numbers" [DS-IANA], respectivement. De plus, le support de validation des signatures basées sur SHA-1 a été supprimé de certains systèmes. Par conséquent, SHA-1 en tant que partie d'un algorithme de signature n'est plus entièrement interopérable dans le contexte de DNSSEC. Étant donné que des alternatives adéquates existent, l'utilisation de SHA-1 n'est plus conseillée.

Ce document déprécie donc l'utilisation de RSASHA1 et RSASHA1-NSEC3-SHA1 pour les algorithmes de sécurité DNS.

1.1 Notation des exigences (Requirements Notation)

Les mots-clés «MUST», «MUST NOT», «REQUIRED», «SHALL», «SHALL NOT», «SHOULD», «SHOULD NOT», «RECOMMENDED», «NOT RECOMMENDED», «MAY» et «OPTIONAL» dans ce document doivent être interprétés comme décrit dans BCP 14 [RFC2119] [RFC8174] lorsque, et seulement lorsque, ils apparaissent en majuscules, comme indiqué ici.

Dernière mise à jour le