2. Backwards Compatibility (向后兼容性)

本规范描述了一个与 [RFC4033], [RFC4034], 和 [RFC4035] 通常不向后兼容的协议变更。特别是, 不了解本规范的安全感知解析器 (security-aware resolvers) (NSEC3-unaware resolvers) 可能无法验证本文档引入的响应。

为了帮助部署, 本规范使用了一种信号技术 (signaling technique) 来防止 NSEC3-unaware 解析器尝试验证来自 NSEC3 签名区域的响应。

本规范为此目的分配了两个新的 DNSKEY 算法标识符。算法 6, DSA-NSEC3-SHA1 是算法 3, DSA 的别名。算法 7, RSASHA1-NSEC3-SHA1 是算法 5, RSASHA1 的别名。这些不是新算法, 它们是现有算法的附加标识符。

根据本规范签名的区域必须仅为其 DNSKEY RR 使用这些算法标识符。因为这些新标识符对于现有的、NSEC3-unaware 解析器来说将是未知算法, 这些解析器将把来自 NSEC3 签名区域的响应视为不安全的, 如 [RFC4035] 的 5.2 节所详述。

这些算法标识符与 NSEC3 哈希算法 SHA1 一起使用。使用其他 NSEC3 哈希算法需要分配新的别名 (参见 12.1.3 节)。

了解本规范的安全感知解析器必须识别新的算法标识符, 并将它们视为等同于它们所别名的算法。

从 DNSSEC 签名区域过渡到使用 NSEC3 签名的区域的方法在 10.4 节中讨论。

2. Backwards Compatibility (向后兼容性)​