跳到主要内容

2. 向 IANA DNSSEC Algorithm Registries 添加使用和实现建议

根据本文档, 以下列已添加到 IANA 维护的相应 DNSSEC algorithm registries:

RegistryColumn Added
DNS Security Algorithm NumbersUse for DNSSEC Signing
DNS Security Algorithm NumbersUse for DNSSEC Validation
DNS Security Algorithm NumbersImplement for DNSSEC Signing
DNS Security Algorithm NumbersImplement for DNSSEC Validation
Digest AlgorithmsUse for DNSSEC Delegation
Digest AlgorithmsUse for DNSSEC Validation
Digest AlgorithmsImplement for DNSSEC Delegation
Digest AlgorithmsImplement for DNSSEC Validation

Table 1: 添加到现有 DNSSEC Algorithm Registries 的列

2.1. 列说明

"DNS Security Algorithm Numbers" registry 中四个列的预期用法如下:

Use for DNSSEC Signing: 表示在权威服务器内使用该算法的建议.

Use for DNSSEC Validation: 表示在 DNSSEC 验证器中使用该算法的建议.

Implement for DNSSEC Signing: 表示在 DNSSEC 签名软件中实现该算法的建议.

Implement for DNSSEC Validation: 表示在 DNSSEC 验证器中实现该算法的建议.

"Digest Algorithms" registry 中四个列的预期用法如下:

Use for DNSSEC Delegation: 表示在权威服务器内使用该算法的建议.

Use for DNSSEC Validation: 表示在 DNSSEC 验证器中使用该算法的建议.

Implement for DNSSEC Delegation: 表示在权威服务器内实现该算法的建议.

Implement for DNSSEC Validation: 表示在验证型解析器中实现该算法的建议.

2.2. 添加和更改值

以下说明已添加到 "DNS Security Algorithm Numbers" registry, 用于描述添加和更改值的过程:

向 "DNS Security Algorithm Numbers" registry 添加新条目, 且该条目在 "Use for DNSSEC Signing", "Use for DNSSEC Validation", "Implement for DNSSEC Signing", 或 "Implement for DNSSEC Validation" 列中的建议值为 "MAY" 时, 将遵循 [RFC8126] 中定义的 Specification Required 策略, 以促进 DNSSEC 算法和 DNSSEC 敏捷性的持续演进. 通过 Specification Required 流程添加的新条目将在所有列中具有 "MAY" 值.

向 "DNS Security Algorithm Numbers" registry 添加新条目, 或更改其中现有值, 且该条目在 "Use for DNSSEC Signing", "Use for DNSSEC Validation", "Implement for DNSSEC Signing", 或 "Implement for DNSSEC Validation" 列中具有除 "MAY" 以外的任何值时, 需要 Standards Action.

如果某个项目未标记为 "RECOMMENDED", 并不一定意味着它有缺陷; 相反, 这表示该项目尚未经过 IETF 共识流程, 适用性有限, 或者仅面向特定用例.

以下说明已添加到 "Digest Algorithms" registry:

向 "Digest Algorithms" registry 添加新条目, 且该条目在 "Use for DNSSEC Delegation", "Use for DNSSEC Validation", "Implement for DNSSEC Delegation", 或 "Implement for DNSSEC Validation" 列中的建议值为 "MAY" 时, SHALL 遵循 [RFC8126] 中定义的 Specification Required 策略.

向 "Digest Algorithms" registry 添加新条目, 或更改其中现有值, 且该条目在 "Use for DNSSEC Delegation", "Use for DNSSEC Validation", "Implement for DNSSEC Delegation", 或 "Implement for DNSSEC Validation" 列中具有除 "MAY" 以外的任何值时, 需要 Standards Action.

如果某个项目未标记为 "RECOMMENDED", 并不一定意味着它有缺陷; 相反, 这表示该项目尚未经过 IETF 共识流程, 适用性有限, 或者仅面向特定用例.

只有 "MAY", "RECOMMENDED", "MUST NOT", 和 "NOT RECOMMENDED" 值可以放入 "Use for DNSSEC Signing" 和 "Use for DNSSEC Validation" 列. 只有 "MAY", "RECOMMENDED", "MUST", "MUST NOT", 和 "NOT RECOMMENDED" 值可以放入 "Implement for DNSSEC Signing" 和 "Implement for DNSSEC Validation" 列. 注意, "MUST" 值不是两个 "Use for" 列允许的值.

以下章节说明已填入这些列的初始值. "Implement for" 列中的值转录自 [RFC8624]. "Use for" 列被设置为与 "Implement for" 列相同的值, 因为迄今的一般解释表明, 它们已被同时视为 "use" 和 "implementation" 的值. 注意, 当对应 "Implement for" 列中的值为 "MUST" 时, "Use for" 列中的值为 "RECOMMENDED". 我们注意到, 由于实现通常先于部署, "Implement for" 和 "Use for" 的值未来可能会出现分歧.