2. Dépréciation de SHA-1 dans les signatures DNSSEC et les RR de délégation

Les algorithmes RSASHA1 [RFC4034] et RSASHA1-NSEC3-SHA1 [RFC5155] NE DOIVENT PAS être utilisés lors de la création d'enregistrements DS. Les opérateurs de résolveurs validants DOIVENT traiter les enregistrements DS RSASHA1 et RSASHA1-NSEC3-SHA1 comme non sécurisés. Si aucun autre enregistrement DS d'algorithmes cryptographiques acceptés n'est disponible, les enregistrements DNS en dessous du point de délégation DOIVENT être traités comme non sécurisés.

Les algorithmes RSASHA1 [RFC4034] et RSASHA1-NSEC3-SHA1 [RFC5155] NE DOIVENT PAS être utilisés lors de la création d'enregistrements DNSKEY et RRSIG. Les implémentations de résolveurs validants ([RFC9499], Section 10) DOIVENT continuer à prendre en charge la validation à l'aide de ces algorithmes car ils diminuent en usage mais sont encore activement utilisés pour certains domaines au moment de cette publication. Les opérateurs de résolveurs validants DOIVENT traiter les algorithmes de signature DNSSEC RSASHA1 et RSASHA1-NSEC3-SHA1 comme non pris en charge, rendant les réponses non sécurisées si elles ne peuvent pas être validées par d'autres algorithmes de signature pris en charge.

---