2. DNSSEC署名および委任RRからのSHA-1の廃止

RSASHA1 [RFC4034]およびRSASHA1-NSEC3-SHA1 [RFC5155]アルゴリズムは、DSレコードを作成する際に使用してはなりません(MUST NOT)。検証リゾルバの運用者は、RSASHA1およびRSASHA1-NSEC3-SHA1 DSレコードを安全でないものとして扱わなければなりません(MUST)。受け入れられた暗号アルゴリズムの他のDSレコードが利用できない場合、委任ポイント以下のDNSレコードは安全でないものとして扱わなければなりません(MUST)。

RSASHA1 [RFC4034]およびRSASHA1-NSEC3-SHA1 [RFC5155]アルゴリズムは、DNSKEYおよびRRSIGレコードを作成する際に使用してはなりません(MUST NOT)。検証リゾルバの実装([RFC9499]、セクション10)は、これらのアルゴリズムを使用した検証を引き続きサポートしなければなりません(MUST)。これらのアルゴリズムの使用は減少していますが、本文書の公開時点では一部のドメインでまだ積極的に使用されています。検証リゾルバの運用者は、DNSSEC署名アルゴリズムRSASHA1およびRSASHA1-NSEC3-SHA1をサポートされていないものとして扱わなければならず(MUST)、他のサポートされている署名アルゴリズムによって検証できない場合、応答を安全でないものとしてレンダリングしなければなりません。

---