2. Deprecating ECC-GOST Algorithms in DNSSEC (废弃 DNSSEC 中的 ECC-GOST 算法)

GOST R 34.11-94 算法 [RFC5933] 绝对不能用于创建 Delegation Signer (委托签名者, DS) 记录。验证解析器必须将 GOST R 34.11-94 DS 记录视为不安全。如果没有其他可接受的加密算法的 DS 记录可用, 则委托点下方的 DNS 记录必须被视为不安全。

GOST R 34.10-2001 算法 [RFC5933] (助记符 "ECC-GOST") 绝对不能用于创建 DNS Public Key (DNS 公钥, DNSKEY) 和 Resource Record Signature (资源记录签名, RRSIG) 记录。验证解析器必须将使用这些算法从 DNSKEY 记录创建的 RRSIG 记录视为不支持的算法。如果没有其他可接受的加密算法的 RRSIG 记录可用, 则验证解析器必须将相关资源记录视为不安全。