2. Backwards Compatibility (後方互換性)
2. Backwards Compatibility (後方互換性)
この仕様は, [RFC4033], [RFC4034], および [RFC4035] と一般的に後方互換性のないプロトコル変更を記述しています。特に, この仕様を認識していないセキュリティ対応リゾルバー (NSEC3 非対応リゾルバー) は, この文書で導入された応答の検証に失敗する可能性があります。
展開を支援するために, この仕様はシグナリング技術を使用して, NSEC3 非対応リゾルバーが NSEC3 署名ゾーンからの応答を検証しようとするのを防ぎます。
この仕様は, この目的のために2つの新しい DNSKEY アルゴリズム識別子を割り当てます。アルゴリズム6, DSA-NSEC3-SHA1 は, アルゴリズム3, DSA のエイリアスです。アルゴリズム7, RSASHA1-NSEC3-SHA1 は, アルゴリズム5, RSASHA1 のエイリアスです。これらは新しいアルゴリズムではなく, 既存のアルゴリズムの追加の識別子です。
この仕様に従って署名されたゾーンは, DNSKEY RR にこれらのアルゴリズム識別子のみを使用しなければなりません (MUST)。これらの新しい識別子は既存の NSEC3 非対応リゾルバーにとって未知のアルゴリズムであるため, それらのリゾルバーは NSEC3 署名ゾーンからの応答を安全でないものとして扱います。これは [RFC4035] のセクション 5.2 で詳述されています。
これらのアルゴリズム識別子は, NSEC3 ハッシュアルゴリズム SHA1 と共に使用されます。他の NSEC3 ハッシュアルゴリズムを使用するには, 新しいエイリアスの割り当てが必要です (セクション 12.1.3 を参照)。
この仕様を認識しているセキュリティ対応リゾルバーは, 新しいアルゴリズム識別子を認識し (MUST), それらをエイリアスするアルゴリズムと同等のものとして扱わなければなりません (MUST)。
DNSSEC 署名ゾーンから NSEC3 を使用して署名されたゾーンへ移行する方法論については, セクション 10.4 で議論されています。