2. 向 IANA DNSSEC Algorithm Registries 添加使用和实现建议
根据本文档, 以下列已添加到 IANA 维护的相应 DNSSEC algorithm registries:
| Registry | Column Added |
|---|---|
| DNS Security Algorithm Numbers | Use for DNSSEC Signing |
| DNS Security Algorithm Numbers | Use for DNSSEC Validation |
| DNS Security Algorithm Numbers | Implement for DNSSEC Signing |
| DNS Security Algorithm Numbers | Implement for DNSSEC Validation |
| Digest Algorithms | Use for DNSSEC Delegation |
| Digest Algorithms | Use for DNSSEC Validation |
| Digest Algorithms | Implement for DNSSEC Delegation |
| Digest Algorithms | Implement for DNSSEC Validation |
Table 1: 添加到现有 DNSSEC Algorithm Registries 的列
2.1. 列说明
"DNS Security Algorithm Numbers" registry 中四个列的预期用法如下:
Use for DNSSEC Signing: 表示在权威服务器内使用该算法的建议.
Use for DNSSEC Validation: 表示在 DNSSEC 验证器中使用该算法的建议.
Implement for DNSSEC Signing: 表示在 DNSSEC 签名软件中实现该算法的建议.
Implement for DNSSEC Validation: 表示在 DNSSEC 验证器中实现该算法的建议.
"Digest Algorithms" registry 中四个列的预期用法如下:
Use for DNSSEC Delegation: 表示在权威服务器内使用该算法的建议.
Use for DNSSEC Validation: 表示在 DNSSEC 验证器中使用该算法的建议.
Implement for DNSSEC Delegation: 表示在权威服务器内实现该算法的建议.
Implement for DNSSEC Validation: 表示在验证型解析器中实现该算法的建议.
2.2. 添加和更改值
以下说明已添加到 "DNS Security Algorithm Numbers" registry, 用于描述添加和更改值的过程:
向 "DNS Security Algorithm Numbers" registry 添加新条目, 且该条目在 "Use for DNSSEC Signing", "Use for DNSSEC Validation", "Implement for DNSSEC Signing", 或 "Implement for DNSSEC Validation" 列中的建议值为 "MAY" 时, 将遵循 [RFC8126] 中定义的 Specification Required 策略, 以促进 DNSSEC 算法和 DNSSEC 敏捷性的持续演进. 通过 Specification Required 流程添加的新条目将在所有列中具有 "MAY" 值.
向 "DNS Security Algorithm Numbers" registry 添加新条目, 或更改其中现有值, 且该条目在 "Use for DNSSEC Signing", "Use for DNSSEC Validation", "Implement for DNSSEC Signing", 或 "Implement for DNSSEC Validation" 列中具有除 "MAY" 以外的任何值时, 需要 Standards Action.
如果某个项目未标记为 "RECOMMENDED", 并不一定意味着它有缺陷; 相反, 这表示该项目尚未经过 IETF 共识流程, 适用性有限, 或者仅面向特定用例.
以下说明已添加到 "Digest Algorithms" registry:
向 "Digest Algorithms" registry 添加新条目, 且该条目在 "Use for DNSSEC Delegation", "Use for DNSSEC Validation", "Implement for DNSSEC Delegation", 或 "Implement for DNSSEC Validation" 列中的建议值为 "MAY" 时, SHALL 遵循 [RFC8126] 中定义的 Specification Required 策略.
向 "Digest Algorithms" registry 添加新条目, 或更改其中现有值, 且该条目在 "Use for DNSSEC Delegation", "Use for DNSSEC Validation", "Implement for DNSSEC Delegation", 或 "Implement for DNSSEC Validation" 列中具有除 "MAY" 以外的任何值时, 需要 Standards Action.
如果某个项目未标记为 "RECOMMENDED", 并不一定意味着它有缺陷; 相反, 这表示该项目尚未经过 IETF 共识流程, 适用性有限, 或者仅面向特定用例.
只有 "MAY", "RECOMMENDED", "MUST NOT", 和 "NOT RECOMMENDED" 值可以放入 "Use for DNSSEC Signing" 和 "Use for DNSSEC Validation" 列. 只有 "MAY", "RECOMMENDED", "MUST", "MUST NOT", 和 "NOT RECOMMENDED" 值可以放入 "Implement for DNSSEC Signing" 和 "Implement for DNSSEC Validation" 列. 注意, "MUST" 值不是两个 "Use for" 列允许的值.
以下章节说明已填入这些列的初始值. "Implement for" 列中的值转录自 [RFC8624]. "Use for" 列被设置为与 "Implement for" 列相同的值, 因为迄今的一般解释表明, 它们已被同时视为 "use" 和 "implementation" 的值. 注意, 当对应 "Implement for" 列中的值为 "MUST" 时, "Use for" 列中的值为 "RECOMMENDED". 我们注意到, 由于实现通常先于部署, "Implement for" 和 "Use for" 的值未来可能会出现分歧.