2. Deprecating SHA-1 from DNSSEC Signatures and Delegation RRs (从 DNSSEC 签名和委派资源记录中弃用 SHA-1)

RSASHA1 [RFC4034] 和 RSASHA1-NSEC3-SHA1 [RFC5155] 算法禁止 (MUST NOT) 用于创建 DS 记录。验证解析器 (Validating Resolvers) 的运营者必须 (MUST) 将 RSASHA1 和 RSASHA1-NSEC3-SHA1 DS 记录视为不安全的 (insecure)。如果没有其他已接受的密码学算法的 DS 记录可用，则委派点 (delegation point) 下的 DNS 记录必须 (MUST) 被视为不安全的。

RSASHA1 [RFC4034] 和 RSASHA1-NSEC3-SHA1 [RFC5155] 算法禁止 (MUST NOT) 用于创建 DNSKEY 和 RRSIG 记录。验证解析器实现 ([RFC9499], Section 10) 必须 (MUST) 继续支持使用这些算法进行验证，因为截至本文档发布时，这些算法的使用正在减少，但在某些域中仍然活跃使用。验证解析器的运营者必须 (MUST) 将 DNSSEC 签名算法 RSASHA1 和 RSASHA1-NSEC3-SHA1 视为不受支持的 (unsupported)，如果无法通过其他受支持的签名算法进行验证，则将响应呈现为不安全的 (insecure)。

---