2. IANA DNSSECアルゴリズムレジストリへの使用および実装推奨の追加
本文書により、IANAが管理する対応するDNSSECアルゴリズムレジストリに以下の列が追加されました:
| レジストリ | 追加された列 |
|---|---|
| DNS Security Algorithm Numbers | Use for DNSSEC Signing |
| DNS Security Algorithm Numbers | Use for DNSSEC Validation |
| DNS Security Algorithm Numbers | Implement for DNSSEC Signing |
| DNS Security Algorithm Numbers | Implement for DNSSEC Validation |
| Digest Algorithms | Use for DNSSEC Delegation |
| Digest Algorithms | Use for DNSSEC Validation |
| Digest Algorithms | Implement for DNSSEC Delegation |
| Digest Algorithms | Implement for DNSSEC Validation |
表1: 既存のDNSSECアルゴリズムレジストリに追加された列
2.1. 列の説明
「DNS Security Algorithm Numbers」レジストリにおける4つの列の意図された用途は以下の通りです:
Use for DNSSEC Signing: 権威サーバー内でのアルゴリズムの使用に関する推奨事項を示します。
Use for DNSSEC Validation: DNSSEC検証器でのアルゴリズムの使用に関する推奨事項を示します。
Implement for DNSSEC Signing: DNSSEC署名ソフトウェア内でのアルゴリズムの実装に関する推奨事項を示します。
Implement for DNSSEC Validation: DNSSEC検証器内でのアルゴリズムの実装に関する推奨事項を示します。
「Digest Algorithms」レジストリにおける4つの列の意図された用途は以下の通りです:
Use for DNSSEC Delegation: 権威サーバー内でのアルゴリズムの使用に関する推奨事項を示します。
Use for DNSSEC Validation: DNSSEC検証器でのアルゴリズムの使用に関する推奨事項を示します。
Implement for DNSSEC Delegation: 権威サーバー内でのアルゴリズムの実装に関する推奨事項を示します。
Implement for DNSSEC Validation: 検証リゾルバ内でのアルゴリズムの実装に関する推奨事項を示します。
2.2. 値の追加と変更
「DNS Security Algorithm Numbers」レジストリに追加された、値の追加および変更手順を説明する以下の注記:
「Use for DNSSEC Signing」、「Use for DNSSEC Validation」、「Implement for DNSSEC Signing」、または「Implement for DNSSEC Validation」列に「MAY」の推奨値を持つ新しいエントリを「DNS Security Algorithm Numbers」レジストリに追加することは、DNSSECアルゴリズムの継続的な進化とDNSSECアジリティを促進するために、[RFC8126]で定義されているSpecification Required policyの対象となります。Specification Requiredプロセスを通じて追加された新しいエントリは、すべての列に「MAY」の値を持ちます。
「Use for DNSSEC Signing」、「Use for DNSSEC Validation」、「Implement for DNSSEC Signing」、または「Implement for DNSSEC Validation」列に「MAY」以外の値を持つ「DNS Security Algorithm Numbers」レジストリへの新しいエントリの追加、または既存の値の変更には、Standards Actionが必要です。
アイテムが「RECOMMENDED」とマークされていない場合、必ずしも欠陥があることを意味するわけではありません。むしろ、そのアイテムがIETFコンセンサスプロセスを経ていないか、適用性が限定されているか、または特定のユースケースのみを対象としていることを示しています。
「Digest Algorithms」レジストリに追加された以下の注記:
「Use for DNSSEC Delegation」、「Use for DNSSEC Validation」、「Implement for DNSSEC Delegation」、または「Implement for DNSSEC Validation」列に「MAY」の推奨値を持つ新しいエントリを「Digest Algorithms」レジストリに追加することは、[RFC8126]で定義されているSpecification Required policyに従うものとします。
「Use for DNSSEC Delegation」、「Use for DNSSEC Validation」、「Implement for DNSSEC Delegation」、または「Implement for DNSSEC Validation」列に「MAY」以外の値を持つ「Digest Algorithms」レジストリへの新しいエントリの追加、または既存の値の変更には、Standards Actionが必要です。
アイテムが「RECOMMENDED」とマークされていない場合、必ずしも欠陥があることを意味するわけではありません。むしろ、そのアイテムがIETFコンセンサスプロセスを経ていないか、適用性が限定されているか、または特定のユースケースのみを対象としていることを示しています。
「Use for DNSSEC Signing」および「Use for DNSSEC Validation」列には、「MAY」、「RECOMMENDED」、「MUST NOT」、「NOT RECOMMENDED」の値のみを配置できます。「Implement for DNSSEC Signing」および「Implement for DNSSEC Validation」列には、「MAY」、「RECOMMENDED」、「MUST」、「MUST NOT」、「NOT RECOMMENDED」の値を配置できます。2つの「Use for」列には「MUST」の値は許可されていないことに注意してください。
以下のセクションでは、これらの列に入力された初期値を示します。「Implement for」列の値は[RFC8624]から転記されています。「Use for」列は、これまでの一般的な解釈が「使用」と「実装」の両方の値として扱われていることを示しているため、「Implement for」列の値と同じ値に設定されています。対応する「Implement for」列の値が「MUST」の場合、「Use for」列の値は「RECOMMENDED」であることに注意してください。「Implement for」と「Use for」の値は、実装が一般的に展開に先行するため、将来分岐する可能性があることに注目します。