2. Deprecazione di SHA-1 dalle firme DNSSEC e dai RR di delega

Gli algoritmi RSASHA1 [RFC4034] e RSASHA1-NSEC3-SHA1 [RFC5155] NON DEVONO essere utilizzati durante la creazione di record DS. Gli operatori di resolver di convalida DEVONO trattare i record DS RSASHA1 e RSASHA1-NSEC3-SHA1 come non sicuri. Se non sono disponibili altri record DS di algoritmi crittografici accettati, i record DNS al di sotto del punto di delega DEVONO essere trattati come non sicuri.

Gli algoritmi RSASHA1 [RFC4034] e RSASHA1-NSEC3-SHA1 [RFC5155] NON DEVONO essere utilizzati durante la creazione di record DNSKEY e RRSIG. Le implementazioni dei resolver di convalida ([RFC9499], Sezione 10) DEVONO continuare a supportare la convalida utilizzando questi algoritmi poiché il loro uso sta diminuendo ma sono ancora attivamente utilizzati per alcuni domini al momento di questa pubblicazione. Gli operatori di resolver di convalida DEVONO trattare gli algoritmi di firma DNSSEC RSASHA1 e RSASHA1-NSEC3-SHA1 come non supportati, rendendo le risposte non sicure se non possono essere convalidate da altri algoritmi di firma supportati.

---