2. Backwards Compatibility (Compatibilità all'indietro)
2. Backwards Compatibility (Compatibilità all'indietro)
La presente specifica descrive una modifica al protocollo che in generale non è compatibile all'indietro con [RFC4033], [RFC4034] e [RFC4035]. In particolare, i resolver consapevoli della sicurezza che non conoscono la presente specifica (resolver non consapevoli di NSEC3) possono non riuscire a convalidare le risposte introdotte dal presente documento.
Per agevolare il dispiegamento, la presente specifica usa una tecnica di segnalazione per impedire ai resolver non consapevoli di NSEC3 di tentare di convalidare le risposte dalle zone firmate con NSEC3.
La presente specifica assegna due nuovi identificatori di algoritmo DNSKEY a questo scopo. L'algoritmo 6, DSA-NSEC3-SHA1, è un alias dell'algoritmo 3, DSA. L'algoritmo 7, RSASHA1-NSEC3-SHA1, è un alias dell'algoritmo 5, RSASHA1. Non sono nuovi algoritmi, ma identificatori aggiuntivi per gli algoritmi esistenti.
Le zone firmate secondo la presente specifica DEVONO usare solo questi identificatori di algoritmo per i propri RR DNSKEY. Poiché questi nuovi identificatori saranno algoritmi sconosciuti per i resolver esistenti non consapevoli di NSEC3, tali resolver tratteranno le risposte dalla zona firmata con NSEC3 come non sicure, come dettagliato nella sezione 5.2 di [RFC4035].
Questi identificatori di algoritmo si usano con l'algoritmo di hash NSEC3 SHA-1. L'uso di altri algoritmi di hash NSEC3 richiede l'assegnazione di un nuovo alias (si veda la sezione 12.1.3).
I resolver consapevoli della sicurezza che conoscono la presente specifica DEVONO riconoscere i nuovi identificatori di algoritmo e trattarli come equivalenti agli algoritmi di cui sono alias.
Una metodologia per la transizione da una zona firmata DNSSEC a una zona firmata usando NSEC3 è discussa nella sezione 10.4.