Passa al contenuto principale

1. Introduzione (Introduction)

La sicurezza della protezione fornita dall'algoritmo SHA-1 [RFC3174] è diminuita lentamente nel tempo poiché varie forme di attacchi hanno indebolito le sue basi crittografiche. DNSSEC [RFC9364] (originariamente definito in [RFC3110]) ha fatto ampio uso di SHA-1, ad esempio, come algoritmo di hash crittografico nei record Resource Record Signature (RRSIG) e Delegation Signer (DS). Da allora, diversi altri algoritmi con maggiore robustezza crittografica sono diventati ampiamente disponibili per i record DS e per i record RRSIG e DNS Public Key (DNSKEY) [RFC4034]. Gli operatori sono incoraggiati a considerare il passaggio a uno degli algoritmi raccomandati elencati nei registri "DNS Security Algorithm Numbers" [DNSKEY-IANA] e "DNS Security Algorithm Numbers" [DS-IANA], rispettivamente. Inoltre, il supporto per la convalida delle firme basate su SHA-1 è stato rimosso da alcuni sistemi. Di conseguenza, SHA-1 come parte di un algoritmo di firma non è più completamente interoperabile nel contesto di DNSSEC. Poiché esistono alternative adeguate, l'uso di SHA-1 non è più consigliabile.

Questo documento depreca quindi l'uso di RSASHA1 e RSASHA1-NSEC3-SHA1 per gli algoritmi di sicurezza DNS.

1.1 Notazione dei requisiti (Requirements Notation)

Le parole chiave "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY" e "OPTIONAL" in questo documento devono essere interpretate come descritto in BCP 14 [RFC2119] [RFC8174] quando, e solo quando, appaiono in lettere maiuscole, come mostrato qui.

Ultimo aggiornamento il