Internet Engineering Task Force (IETF) W. Hardaker
Request for Comments: 9904 USC/ISI
Obsoletes: 8624 W. Kumari
Updates: 9157 Google
Category: Standards Track November 2025
ISSN: 2070-1721
The DNSSEC protocol makes use of various cryptographic algorithms to provide authentication of DNS data and proof of nonexistence. To ensure interoperability between DNS resolvers and DNS authoritative servers, it is necessary to specify both a set of algorithm implementation requirements and usage guidelines to ensure that there is at least one algorithm that all implementations support. This document replaces and obsoletes RFC 8624 and moves the canonical source of algorithm implementation requirements and usage guidance for DNSSEC from RFC 8624 to the IANA DNSSEC algorithm registries. This is done to allow the list of requirements to be more easily updated and referenced. Extensions to these registries can be made in future RFCs. This document also updates RFC 9157 and incorporates the revised IANA DNSSEC considerations from that RFC.
DNSSEC プロトコルは、さまざまな暗号化アルゴリズムを利用して、DNS データの認証と存在しない証明を提供します。DNS リゾルバーと DNS 権威サーバー間の相互運用性を確保するには、一連のアルゴリズム実装要件と使用ガイドラインの両方を指定して、すべての実装でサポートされるアルゴリズムが少なくとも 1 つあることを確認する必要があります。この文書は RFC 8624 を置き換えて廃止し、DNSSEC のアルゴリズム実装要件と使用ガイダンスの正規ソースを RFC 8624 から IANA DNSSEC アルゴリズム レジストリに移動します。これは、要件のリストをより簡単に更新および参照できるようにするために行われます。これらのレジストリの拡張は、将来の RFC で行われる可能性があります。この文書は RFC 9157 も更新し、その RFC から改訂された IANA DNSSEC の考慮事項を組み込んでいます。
This document does not change the recommendation status (MUST, MAY, RECOMMENDED, etc.) of the algorithms listed in RFC 8624; that is the work of future documents.
この文書は、RFC 8624 にリストされているアルゴリズムの推奨ステータス (MUST、MAY、RECOMMENDED など) を変更するものではありません。それは将来の文書の作業です。
This is an Internet Standards Track document.
これはインターネット標準化トラックの文書です。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは Internet Engineering Task Force (IETF) の成果物です。これは IETF コミュニティのコンセンサスを表しています。この文書は公開レビューを受け、Internet Engineering Steering Group (IESG) によって公開が承認されています。インターネット標準の詳細については、RFC 7841 のセクション 2 を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9904.
この文書の現在のステータス、正誤表、およびそれに対するフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc9904 で入手できます。
Copyright (c) 2025 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright (c) 2025 IETF Trust および文書の著者として特定された人物。無断転載を禁じます。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
この文書は、BCP 78 およびこの文書の発行日に有効な IETF 文書に関する IETF トラストの法的規定 (https://trustee.ietf.org/license-info) の対象となります。これらの文書には、この文書に関するお客様の権利と制限が記載されているため、注意深くお読みください。このドキュメントから抽出されたコード コンポーネントには、トラスト法的規定のセクション 4.e に記載されている改訂 BSD ライセンス テキストが含まれている必要があり、改訂 BSD ライセンスに記載されているように保証なしで提供されます。
1. Introduction
1.1. Document Audience
1.2. Updating Algorithm Requirement Levels
1.3. Requirements Notation
2. Adding Usage and Implementation Recommendations to the IANA
DNSSEC Algorithm Registries
2.1. Column Descriptions
2.2. Adding and Changing Values
3. DNS Security Algorithm Numbers Registry Column Values
4. Digest Algorithms Registry Column Values
5. Security Considerations
6. Operational Considerations
7. IANA Considerations
7.1. Update to the DNS Security Algorithm Numbers Registry
7.2. Update to the Digest Algorithms Registry
8. References
8.1. Normative References
8.2. Informative References
Acknowledgments
Authors' Addresses
"DNS Security Extensions (DNSSEC)" [RFC9364] is used to provide authentication of DNS data. The DNSSEC signing algorithms are defined by various RFCs, including [RFC4034], [RFC4509], [RFC5155], [RFC5702], [RFC5933], [RFC6605], and [RFC8080].
「DNS Security Extensions (DNSSEC)」[RFC9364] は、DNS データの認証を提供するために使用されます。DNSSEC 署名アルゴリズムは、[RFC4034]、[RFC4509]、[RFC5155]、[RFC5702]、[RFC5933]、[RFC6605]、および [RFC8080] を含むさまざまな RFC によって定義されています。
To ensure interoperability, a set of "mandatory-to-implement" DNS Public Key (DNSKEY) algorithms are defined in [RFC8624]. To make the current status of the algorithms more easily accessible and understandable, and to make future changes to these recommendations easier to publish, this document moves the canonical status of the algorithms from [RFC8624] to the IANA DNSSEC algorithm registries. This document also incorporates the revised IANA DNSSEC considerations from [RFC9157]. Additionally, as advice to operators, it adds recommendations for deploying and using these algorithms.
相互運用性を確保するために、「実装が必須」の DNS 公開鍵 (DNSKEY) アルゴリズムのセットが [RFC8624] で定義されています。アルゴリズムの現在のステータスをより簡単にアクセスして理解できるようにし、これらの推奨事項に対する将来の変更を公開しやすくするために、この文書はアルゴリズムの正規ステータスを [RFC8624] から IANA DNSSEC アルゴリズム レジストリに移動します。この文書には、[RFC9157] の改訂された IANA DNSSEC の考慮事項も組み込まれています。さらに、オペレーターへのアドバイスとして、これらのアルゴリズムの導入と使用に関する推奨事項を追加します。
This is similar to the process used for the "TLS Cipher Suites" registry [TLS-ciphersuites], where the canonical list of cipher suites is in the IANA registry, and RFCs reference the IANA registry.
これは、「TLS 暗号スイート」レジストリ [TLS-ciphersuites] で使用されるプロセスに似ています。暗号スイートの正規リストは IANA レジストリにあり、RFC は IANA レジストリを参照します。
The columns added to the IANA "DNS Security Algorithm Numbers" [DNSKEY-IANA] and "Digest Algorithms" [DS-IANA] registries target DNSSEC operators and implementers.
IANA の「DNS セキュリティ アルゴリズム番号」[DNSKEY-IANA] および「ダイジェスト アルゴリズム」[DS-IANA] レジストリに追加された列は、DNSSEC オペレーターと実装者を対象としています。
Implementations need to meet high security expectations as well as provide interoperability between various implementations and with different versions.
実装では、高度なセキュリティの期待に応えるだけでなく、さまざまな実装間および異なるバージョン間での相互運用性を提供する必要があります。
The field of cryptography evolves continuously. New, stronger algorithms appear, and existing algorithms may be found to be less secure than originally thought. Therefore, algorithm implementation requirements and usage guidance need to be updated from time to time in order to reflect the new reality and to allow for a smooth transition to more secure algorithms as well as the deprecation of algorithms deemed to no longer be secure.
暗号化の分野は継続的に進化しています。新しく強力なアルゴリズムが登場し、既存のアルゴリズムが当初考えられていたよりも安全性が低いことが判明する場合があります。したがって、新しい現実を反映し、より安全なアルゴリズムへのスムーズな移行や、安全でなくなったとみなされるアルゴリズムの廃止を可能にするために、アルゴリズムの実装要件と使用上のガイダンスを随時更新する必要があります。
Implementations need to be conservative in the selection of algorithms they implement in order to minimize both code complexity and the attack surface.
コードの複雑さと攻撃対象領域の両方を最小限に抑えるために、実装では実装するアルゴリズムを慎重に選択する必要があります。
The perspective of implementers may differ from that of an operator who wishes to deploy and configure DNSSEC with only the safest algorithm. As such, this document also adds new recommendations about which algorithms should be deployed regardless of implementation status. In general, it is expected that deployment of aging algorithms should generally be reduced before implementations stop supporting them.
実装者の視点は、最も安全なアルゴリズムのみを使用して DNSSEC を展開および構成したいと考える運用者の視点とは異なる場合があります。そのため、このドキュメントでは、実装ステータスに関係なくどのアルゴリズムを導入する必要があるかについての新しい推奨事項も追加しています。一般に、実装がサポートを停止する前に、古いアルゴリズムの導入を削減する必要があると予想されます。
By the time a DNSSEC cryptographic algorithm is made mandatory to implement, it should already be available in most implementations. This document defines an IANA registration modification to allow future documents to specify the implementation recommendations for each algorithm, as the recommendation status of each DNSSEC cryptographic algorithm is expected to change over time. For example, there is no guarantee that newly introduced algorithms will become mandatory to implement in the future. Likewise, published algorithms are continuously subjected to cryptographic attack and may become too weak, or even be completely broken, and will require deprecation in the future.
DNSSEC 暗号化アルゴリズムの実装が必須になるまでに、ほとんどの実装ですでに利用可能になっているはずです。この文書は、各 DNSSEC 暗号化アルゴリズムの推奨ステータスが時間の経過とともに変化すると予想されるため、将来の文書で各アルゴリズムの実装推奨事項を指定できるようにするための IANA 登録の変更を定義します。たとえば、新しく導入されたアルゴリズムが将来的に実装が必須になるという保証はありません。同様に、公開されたアルゴリズムは暗号化攻撃に継続的にさらされ、弱くなりすぎたり、完全に壊れたりする可能性があり、将来的には非推奨が必要になります。
It is expected that the deprecation of an algorithm will be performed gradually. This provides time for implementations to update their implemented algorithms while remaining interoperable. Unless there are strong security reasons, an algorithm is expected to be downgraded from MUST to NOT RECOMMENDED or MAY, instead of directly from MUST to MUST NOT. Similarly, an algorithm that has not been mentioned as mandatory to implement is expected to be first introduced as RECOMMENDED instead of a MUST.
アルゴリズムの廃止は段階的に行われることが予想されます。これにより、実装は相互運用性を維持しながら、実装されたアルゴリズムを更新する時間を確保できます。強力なセキュリティ上の理由がない限り、アルゴリズムは、「MUST」から「MUST NOT」に直接ダウングレードされるのではなく、「MUST」から「NOT RECOMMENDED」または「MAY」にダウングレードされることが予想されます。同様に、実装の必須として言及されていないアルゴリズムは、最初は「MUST」ではなく「RECOMMENDED」として導入されることが予想されます。
Since the effect of using an unknown DNSKEY algorithm is that the zone is treated as insecure, it is recommended that algorithms that have been downgraded to NOT RECOMMENDED or lower not be used by authoritative nameservers and DNSSEC signers to create new DNSKEYs. This ensures that the use of deprecated algorithms decreases over time. Once an algorithm has reached a sufficiently low level of deployment, it can be marked as MUST NOT, so that recursive resolvers can remove support for validating it.
不明な DNSKEY アルゴリズムを使用すると、ゾーンが安全でないものとして扱われるため、「推奨されません」以下にダウングレードされたアルゴリズムは、権限のあるネームサーバーや DNSSEC 署名者が新しい DNSKEY を作成するために使用しないことをお勧めします。これにより、非推奨のアルゴリズムの使用が時間の経過とともに確実に減少します。アルゴリズムが十分に低いレベルの展開に達すると、再帰リゾルバーがそのアルゴリズムを検証するためのサポートを削除できるように、そのアルゴリズムを「MUST NOT」としてマークできます。
Validating recursive resolvers are encouraged to retain support for all algorithms not marked as MUST NOT.
検証再帰リゾルバーは、「MUST NOT」とマークされていないすべてのアルゴリズムのサポートを維持することが推奨されます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
このドキュメント内のキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、および「OPTIONAL」は、ここに示すようにすべて大文字で表示されている場合にのみ、BCP 14 [RFC2119] [RFC8174] で説明されているように解釈されます。
[RFC2119] considers the term SHOULD to be equivalent to RECOMMENDED, and SHOULD NOT equivalent to NOT RECOMMENDED. This document has chosen to use the terms RECOMMENDED and NOT RECOMMENDED, as this more clearly expresses the recommendations to implementers.
[RFC2119] では、この用語は RECOMMENDED と同等であるべきであり、NOT RECOMMENDED と同等であるべきではないと考えています。この文書では、実装者に対する推奨事項をより明確に表現するため、「推奨」と「非推奨」という用語を使用することにしました。
Per this document, the following columns have been added to the corresponding DNSSEC algorithm registries maintained by IANA:
この文書に従って、IANA が管理する対応する DNSSEC アルゴリズム レジストリに次の列が追加されました。
+================================+=================================+
| Registry | Column Added |
+================================+=================================+
| DNS Security Algorithm Numbers | Use for DNSSEC Signing |
+--------------------------------+---------------------------------+
| DNS Security Algorithm Numbers | Use for DNSSEC Validation |
+--------------------------------+---------------------------------+
| DNS Security Algorithm Numbers | Implement for DNSSEC Signing |
+--------------------------------+---------------------------------+
| DNS Security Algorithm Numbers | Implement for DNSSEC Validation |
+--------------------------------+---------------------------------+
| Digest Algorithms | Use for DNSSEC Delegation |
+--------------------------------+---------------------------------+
| Digest Algorithms | Use for DNSSEC Validation |
+--------------------------------+---------------------------------+
| Digest Algorithms | Implement for DNSSEC Delegation |
+--------------------------------+---------------------------------+
| Digest Algorithms | Implement for DNSSEC Validation |
+--------------------------------+---------------------------------+
Table 1: Columns Added to Existing DNSSEC Algorithm Registries
表 1: 既存の DNSSEC アルゴリズム レジストリに追加された列
The intended usage of the four columns in the "DNS Security Algorithm Numbers" registry is as follows:
「DNS セキュリティ アルゴリズム番号」レジストリの 4 つの列の使用目的は次のとおりです。
Use for DNSSEC Signing:
DNSSEC 署名に使用:
Indicates the recommendation for using the algorithm within authoritative servers.
権威サーバー内でアルゴリズムを使用する場合の推奨事項を示します。
Use for DNSSEC Validation:
DNSSEC 検証に使用:
Indicates the recommendation for using the algorithm in DNSSEC validators.
DNSSEC バリデーターでアルゴリズムを使用するための推奨事項を示します。
Implement for DNSSEC Signing:
DNSSEC 署名の実装:
Indicates the recommendation for implementing the algorithm within DNSSEC signing software.
DNSSEC 署名ソフトウェア内でアルゴリズムを実装するための推奨事項を示します。
Implement for DNSSEC Validation:
DNSSEC 検証用の実装:
Indicates the recommendation for implementing the algorithm within DNSSEC validators.
DNSSEC バリデーター内でアルゴリズムを実装するための推奨事項を示します。
The intended usage of the four columns in the "Digest Algorithms" registry is as follows:
「ダイジェスト アルゴリズム」レジストリの 4 つの列の使用目的は次のとおりです。
Use for DNSSEC Delegation:
DNSSEC 委任に使用:
Indicates the recommendation for using the algorithm within authoritative servers.
権威サーバー内でアルゴリズムを使用する場合の推奨事項を示します。
Use for DNSSEC Validation:
DNSSEC 検証に使用:
Indicates the recommendation for using the algorithm in DNSSEC validators.
DNSSEC バリデーターでアルゴリズムを使用するための推奨事項を示します。
Implement for DNSSEC Delegation:
DNSSEC 委任の実装:
Indicates the recommendation for implementing the algorithm within authoritative servers.
権威サーバー内にアルゴリズムを実装するための推奨事項を示します。
Implement for DNSSEC Validation:
DNSSEC 検証用の実装:
Indicates the recommendation for implementing the algorithm within validating resolvers.
検証リゾルバー内でアルゴリズムを実装するための推奨事項を示します。
The following note describing the procedures for adding and changing values has been added to the "DNS Security Algorithm Numbers" registry:
値を追加および変更する手順を説明する次のメモが、「DNS セキュリティ アルゴリズム番号」レジストリに追加されました。
Adding a new entry to the "DNS Security Algorithm Numbers" registry with a recommended value of "MAY" in the "Use for DNSSEC Signing", "Use for DNSSEC Validation", "Implement for DNSSEC Signing", or "Implement for DNSSEC Validation" columns will be subject to the Specification Required policy as defined in [RFC8126] in order to promote continued evolution of DNSSEC algorithms and DNSSEC agility. New entries added through the Specification Required process will have the value of "MAY" for all columns.
「DNSSEC 署名に使用」、「DNSSEC 検証に使用」、「DNSSEC 署名に実装」、または「DNSSEC 検証に実装」列に推奨値「MAY」を指定して「DNS セキュリティ アルゴリズム番号」レジストリに新しいエントリを追加すると、DNSSEC アルゴリズムの継続的な進化を促進するために、[RFC8126] で定義されている仕様必須ポリシーの対象となります。DNSSEC の俊敏性。「仕様が必要」プロセスを通じて追加された新しいエントリは、すべての列の値が「MAY」になります。
Adding a new entry to, or changing an existing value in, the "DNS Security Algorithm Numbers" registry that has any value other than "MAY" in the "Use for DNSSEC Signing", "Use for DNSSEC Validation", "Implement for DNSSEC Signing", or "Implement for DNSSEC Validation" columns requires Standards Action.
「DNSSEC 署名に使用」、「DNSSEC 検証に使用」、「DNSSEC 署名に実装」、または「DNSSEC 検証に実装」列に「MAY」以外の値がある「DNS セキュリティ アルゴリズム番号」レジストリに新しいエントリを追加したり、既存の値を変更したりするには、標準化アクションが必要です。
If an item is not marked as "RECOMMENDED", it does not necessarily mean that it is flawed; rather, it indicates that the item either has not been through the IETF consensus process, has limited applicability, or is intended only for specific use cases.
項目に「推奨」のマークが付いていなくても、必ずしも欠陥があることを意味するわけではありません。むしろ、そのアイテムが IETF コンセンサス プロセスを経ていない、適用性が限られている、または特定の使用例のみを目的としているかのいずれかを示します。
The following note has been added to the "Digest Algorithms" registry:
次のメモが「ダイジェスト アルゴリズム」レジストリに追加されました。
Adding a new entry to the "Digest Algorithms" registry with a recommended value of "MAY" in the "Use for DNSSEC Delegation", "Use for DNSSEC Validation", "Implement for DNSSEC Delegation", or "Implement for DNSSEC Validation" columns SHALL follow the Specification Required policy as defined in [RFC8126].
「DNSSEC 委任に使用」、「DNSSEC 検証に使用」、「DNSSEC 委任に実装」、または「DNSSEC 検証に実装」列に推奨値「MAY」を指定して、「ダイジェスト アルゴリズム」レジストリに新しいエントリを追加することは、[RFC8126] で定義されている要求仕様ポリシーに従うものとします (SHALL)。
Adding a new entry to, or changing an existing value in, the "Digest Algorithms" registry that has any value other than "MAY" in the "Use for DNSSEC Delegation", "Use for DNSSEC Validation", "Implement for DNSSEC Delegation", or "Implement for DNSSEC Validation" columns requires Standards Action.
「DNSSEC 委任に使用」、「DNSSEC 検証に使用」、「DNSSEC 委任に実装」、または「DNSSEC 検証に実装」列に「MAY」以外の値を持つ「ダイジェスト アルゴリズム」レジストリに新しいエントリを追加したり、既存の値を変更したりするには、標準化アクションが必要です。
If an item is not marked as "RECOMMENDED", it does not necessarily mean that it is flawed; rather, it indicates that the item either has not been through the IETF consensus process, has limited applicability, or is intended only for specific use cases.
項目に「推奨」のマークが付いていなくても、必ずしも欠陥があることを意味するわけではありません。むしろ、その項目が IETF コンセンサスプロセスを経ていないか、適用範囲が限られているか、または特定の使用例のみを目的としているかのいずれかを示します。
Only values of "MAY", "RECOMMENDED", "MUST NOT", and "NOT RECOMMENDED" may be placed into the "Use for DNSSEC Signing" and "Use for DNSSEC Validation" columns. Only values of "MAY", "RECOMMENDED", "MUST", "MUST NOT", and "NOT RECOMMENDED" may be placed into the "Implement for DNSSEC Signing" and "Implement for DNSSEC Validation" columns. Note that a value of "MUST" is not an allowed value for the two "Use for" columns.
「DNSSEC 署名に使用」列と「DNSSEC 検証に使用」列には、「MAY」、「RECOMMENDED」、「MUST NOT」、「NOT RECOMMENDED」の値のみを入力できます。「MAY」、「RECOMMENDED」、「MUST」、「MUST NOT」、「NOT RECOMMENDED」の値のみを「Implement for DNSSEC Signing」列と「Implement for DNSSEC Validation」列に入力できます。「MUST」という値は、2 つの「Use for」列に対して許可される値ではないことに注意してください。
The following sections state the initial values that have been populated into these columns. The values in the "Implement for" columns are transcribed from [RFC8624]. The "Use for" columns are set to the same values as those in the "Implement for" columns since the general interpretation to date indicates they have been treated as values for both "use" and "implementation". Note that the value in the "Use for" column is "RECOMMENDED" when the value in the corresponding "Implement for" column is "MUST". We note that the values for "Implement for" and "Use for" may diverge in the future as implementations generally precede deployments.
次のセクションでは、これらの列に入力された初期値について説明します。「実装対象」列の値は [RFC8624] から転記されています。これまでの一般的な解釈では、「使用」列は「使用」と「実装」の両方の値として扱われてきたため、「使用」列は「実装」列と同じ値に設定されます。対応する「実装対象」列の値が「必須」の場合、「使用対象」列の値は「推奨」になることに注意してください。通常、実装は展開に先立つため、「実装対象」と「使用対象」の値は将来的に異なる可能性があることに注意してください。
Initial values for the use and implementation recommendation columns in the "DNS Security Algorithm Numbers" registry under the "Domain Name System Security (DNSSEC) Algorithm Numbers" registry group are shown in Table 2.
「ドメイン ネーム システム セキュリティ (DNSSEC) アルゴリズム番号」レジストリ グループの「DNS セキュリティ アルゴリズム番号」レジストリの使用および実装に関する推奨事項の列の初期値を表 2 に示します。
When there are multiple RECOMMENDED algorithms in the "Use for" columns, operators should choose the best algorithm according to local policy.
「用途」列に複数の推奨アルゴリズムがある場合、オペレータはローカル ポリシーに従って最適なアルゴリズムを選択する必要があります。
+===+===============+===========+===========+===========+===========+
|No.|Mnemonics |Use for |Use for |Implement |Implement |
| | |DNSSEC |DNSSEC |for DNSSEC |for DNSSEC |
| | |Signing |Validation |Signing |Validation |
+===+===============+===========+===========+===========+===========+
|1 |RSAMD5 |MUST NOT |MUST NOT |MUST NOT |MUST NOT |
+---+---------------+-----------+-----------+-----------+-----------+
|3 |DSA |MUST NOT |MUST NOT |MUST NOT |MUST NOT |
+---+---------------+-----------+-----------+-----------+-----------+
|5 |RSASHA1 |NOT |RECOMMENDED|NOT |MUST |
| | |RECOMMENDED| |RECOMMENDED| |
+---+---------------+-----------+-----------+-----------+-----------+
|6 |DSA-NSEC3-SHA1 |MUST NOT |MUST NOT |MUST NOT |MUST NOT |
+---+---------------+-----------+-----------+-----------+-----------+
|7 |RSASHA1-NSEC3- |NOT |RECOMMENDED|NOT |MUST |
| |SHA1 |RECOMMENDED| |RECOMMENDED| |
+---+---------------+-----------+-----------+-----------+-----------+
|8 |RSASHA256 |RECOMMENDED|RECOMMENDED|MUST |MUST |
+---+---------------+-----------+-----------+-----------+-----------+
|10 |RSASHA512 |NOT |RECOMMENDED|NOT |MUST |
| | |RECOMMENDED| |RECOMMENDED| |
+---+---------------+-----------+-----------+-----------+-----------+
|12 |ECC-GOST |MUST NOT |MAY |MUST NOT |MAY |
+---+---------------+-----------+-----------+-----------+-----------+
|13 |ECDSAP256SHA256|RECOMMENDED|RECOMMENDED|MUST |MUST |
+---+---------------+-----------+-----------+-----------+-----------+
|14 |ECDSAP384SHA384|MAY |RECOMMENDED|MAY |RECOMMENDED|
+---+---------------+-----------+-----------+-----------+-----------+
|15 |ED25519 |RECOMMENDED|RECOMMENDED|RECOMMENDED|RECOMMENDED|
+---+---------------+-----------+-----------+-----------+-----------+
|16 |ED448 |MAY |RECOMMENDED|MAY |RECOMMENDED|
+---+---------------+-----------+-----------+-----------+-----------+
|17 |SM2SM3 |MAY |MAY |MAY |MAY |
+---+---------------+-----------+-----------+-----------+-----------+
|23 |ECC-GOST12 |MAY |MAY |MAY |MAY |
+---+---------------+-----------+-----------+-----------+-----------+
|253|PRIVATEDNS |MAY |MAY |MAY |MAY |
+---+---------------+-----------+-----------+-----------+-----------+
|254|PRIVATEOID |MAY |MAY |MAY |MAY |
+---+---------------+-----------+-----------+-----------+-----------+
Table 2: Initial Values for the DNS Security Algorithm Numbers Registry Columns
表 2: DNS セキュリティ アルゴリズム番号のレジストリ列の初期値
Initial values for the use and implementation recommendation columns in the "Digest Algorithms" registry under the "DNSSEC Delegation Signer (DS) Resource Record (RR) Type Digest Algorithms" registry group are shown in Table 3.
「DNSSEC 委任署名者 (DS) リソース レコード (RR) タイプ ダイジェスト アルゴリズム」レジストリ グループの「ダイジェスト アルゴリズム」レジストリの使用および実装推奨列の初期値を表 3 に示します。
When there are multiple RECOMMENDED algorithms in the "Use for" columns, operators should choose the best algorithm according to local policy.
「用途」列に複数の推奨アルゴリズムがある場合、オペレータはローカル ポリシーに従って最適なアルゴリズムを選択する必要があります。
+=====+===========+===========+===========+==========+=============+
|Value|Description|Use for |Use for |Implement | Implement |
| | |DNSSEC |DNSSEC |for DNSSEC| for DNSSEC |
| | |Delegation |Validation |Delegation| Validation |
+=====+===========+===========+===========+==========+=============+
|0 |NULL (CDS |MUST NOT |MUST NOT |MUST NOT | MUST NOT |
| |only) | | | | |
+-----+-----------+-----------+-----------+----------+-------------+
|1 |SHA-1 |MUST NOT |RECOMMENDED|MUST NOT | MUST |
+-----+-----------+-----------+-----------+----------+-------------+
|2 |SHA-256 |RECOMMENDED|RECOMMENDED|MUST | MUST |
+-----+-----------+-----------+-----------+----------+-------------+
|3 |GOST R |MUST NOT |MAY |MUST NOT | MAY |
| |34.11-94 | | | | |
+-----+-----------+-----------+-----------+----------+-------------+
|4 |SHA-384 |MAY |RECOMMENDED|MAY | RECOMMENDED |
+-----+-----------+-----------+-----------+----------+-------------+
|5 |GOST R |MAY |MAY |MAY | MAY |
| |34.11-2012 | | | | |
+-----+-----------+-----------+-----------+----------+-------------+
|6 |SM3 |MAY |MAY |MAY | MAY |
+-----+-----------+-----------+-----------+----------+-------------+
Table 3: Initial Values for the Digest Algorithms Registry Columns
表 3: ダイジェスト アルゴリズムのレジストリ列の初期値
The security of cryptographic systems depends on the strength of both the cryptographic algorithms chosen and the keys used with those algorithms. The security also depends on the engineering of the protocol used by the system to ensure that there are no non-cryptographic ways to bypass the security of the overall system.
暗号化システムのセキュリティは、選択した暗号化アルゴリズムと、それらのアルゴリズムで使用される鍵の両方の強度に依存します。セキュリティは、システム全体のセキュリティをバイパスする非暗号化方法がないことを保証するために、システムで使用されるプロトコルのエンジニアリングにも依存します。
This document concerns itself with the selection of cryptographic algorithms for the use of DNSSEC, specifically with the selection of "mandatory-to-implement" algorithms. In this document, the algorithms identified as MUST or RECOMMENDED to implement are not known to be broken at the current time, and cryptographic research so far leads us to believe that they are likely to remain adequately secure unless significant and unexpected discovery is made. However, this isn't necessarily forever, and it is expected that future documents will be issued from time to time to reflect the current best practices in this area.
この文書は、DNSSEC を使用するための暗号アルゴリズムの選択、特に「実装が必須」のアルゴリズムの選択に関するものです。この文書で、実装が「必須」または「推奨」として特定されているアルゴリズムは、現時点では破られることは知られておらず、これまでの暗号研究により、重大かつ予期せぬ発見が行われない限り、それらのアルゴリズムは十分な安全性を維持できる可能性が高いと考えられます。ただし、これは必ずしも永遠に続くわけではなく、この分野の現在のベスト プラクティスを反映するために将来の文書が随時発行されることが予想されます。
Retiring an algorithm too soon would result in a zone signed with the retired algorithm being downgraded to the equivalent of an unsigned zone. Therefore, algorithm deprecation must be done only after careful consideration and ideally slowly when possible.
アルゴリズムを早期に廃止すると、廃止されたアルゴリズムで署名されたゾーンが署名のないゾーンと同等にダウングレードされてしまいます。したがって、アルゴリズムの非推奨は慎重に検討した後にのみ行う必要があり、可能であればゆっくりと行うのが理想的です。
DNSKEY algorithm rollover in a live zone is a complex process. See [RFC6781] and [RFC7583] for guidelines on how to perform algorithm rollovers.
ライブ ゾーンでの DNSKEY アルゴリズムのロールオーバーは複雑なプロセスです。アルゴリズムのロールオーバーを実行する方法のガイドラインについては、[RFC6781] および [RFC7583] を参照してください。
DS algorithm rollover in a live zone is also a complex process. Upgrading an algorithm at the same time as rolling to the new Key Signing Key (KSK) key will lead to DNSSEC validation failures, and users MUST upgrade the DS algorithm first before rolling to a new KSK.
ライブ ゾーンでの DS アルゴリズムのロールオーバーも複雑なプロセスです。新しいキー署名キー (KSK) キーへのロールアップと同時にアルゴリズムをアップグレードすると、DNSSEC 検証が失敗するため、ユーザーは新しい KSK へロールする前に、まず DS アルゴリズムをアップグレードする必要があります。
IANA has updated the "DNS Security Algorithm Numbers" [DNSKEY-IANA] and "Digest Algorithms" [DS-IANA] registries according to the sections that follow.
IANA は、以下のセクションに従って、「DNS セキュリティ アルゴリズム番号」[DNSKEY-IANA] および「ダイジェスト アルゴリズム」[DS-IANA] レジストリを更新しました。
IANA has updated the "DNS Security Algorithm Numbers" registry [DNSKEY-IANA] with the following columns and has populated these columns with the values from Table 2 of this document:
IANA は、「DNS セキュリティ アルゴリズム番号」レジストリ [DNSKEY-IANA] を次の列で更新し、これらの列にこの文書の表 2 の値を入力しました。
* "Use for DNSSEC Signing"
* 「DNSSEC署名に使用」
* "Use for DNSSEC Validation"
* 「DNSSEC検証に使用」
* "Implement for DNSSEC Signing"
* 「DNSSEC署名の実装」
* "Implement for DNSSEC Validation"
* 「DNSSEC検証用の実装」
Additionally, IANA has completed the following actions for the "DNS Security Algorithm Numbers" registry [DNSKEY-IANA]:
さらに、IANA は、「DNS セキュリティ アルゴリズム番号」レジストリ [DNSKEY-IANA] に対して次の措置を完了しました。
* Changed the registration procedure to Standards Action or Specification Required.
* 登録手順を標準アクションまたは仕様必須に変更しました。
* Added a note to the registry that describes the values not marked as "RECOMMENDED" per Section 2.2.
* セクション 2.2 に従って「推奨」としてマークされていない値を説明するメモをレジストリに追加しました。
* Listed this document as an additional reference for the registry.
* このドキュメントをレジストリの追加参照としてリストしました。
IANA has updated the "Digest Algorithms" registry [DS-IANA] with the following columns and has populated these columns with the values from Table 3 of this document:
IANA は、「ダイジェスト アルゴリズム」レジストリ [DS-IANA] を次の列で更新し、これらの列にこの文書の表 3 の値を入力しました。
* "Use for DNSSEC Delegation"
* 「DNSSEC委任に使用」
* "Use for DNSSEC Validation"
* 「DNSSEC検証に使用」
* "Implement for DNSSEC Delegation"
* 「DNSSEC 委任の実装」
* "Implement for DNSSEC Validation"
* 「DNSSEC検証用の実装」
Additionally, IANA has completed the following actions for the "Digest Algorithms" registry [DS-IANA]:
さらに、IANA は、「ダイジェスト アルゴリズム」レジストリ [DS-IANA] に対して次のアクションを完了しました。
* Changed the registration procedure to Standards Action or Specification Required.
* 登録手順を標準アクションまたは仕様必須に変更しました。
* Added a note to the registry that describes the values not marked as "RECOMMENDED" per Section 2.2.
* セクション 2.2 に従って「推奨」としてマークされていない値を説明するメモをレジストリに追加しました。
* Listed this document as an additional reference for the registry.
* このドキュメントをレジストリの追加参照としてリストしました。
* Marked values 128-252 as "Reserved".
* 値 128 ~ 252 を「予約済み」としてマークしました。
* Marked values 253 and 254 as "Reserved for Private Use".
* 値 253 と 254 を「プライベート使用のために予約」としてマークします。
* Deleted the (now superfluous) column "Status" from the registry.
* (不要になった) 「ステータス」列をレジストリから削除しました。
[DNSKEY-IANA]
IANA, "DNS Security Algorithm Numbers",
<https://www.iana.org/assignments/dns-sec-alg-numbers>.
[DS-IANA] IANA, "Digest Algorithms",
<http://www.iana.org/assignments/ds-rr-types>.
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119,
DOI 10.17487/RFC2119, March 1997,
<https://www.rfc-editor.org/info/rfc2119>.
[RFC8126] Cotton, M., Leiba, B., and T. Narten, "Guidelines for
Writing an IANA Considerations Section in RFCs", BCP 26,
RFC 8126, DOI 10.17487/RFC8126, June 2017,
<https://www.rfc-editor.org/info/rfc8126>.
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC
2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174,
May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC9157] Hoffman, P., "Revised IANA Considerations for DNSSEC",
RFC 9157, DOI 10.17487/RFC9157, December 2021,
<https://www.rfc-editor.org/info/rfc9157>.
[RFC4034] Arends, R., Austein, R., Larson, M., Massey, D., and S.
Rose, "Resource Records for the DNS Security Extensions",
RFC 4034, DOI 10.17487/RFC4034, March 2005,
<https://www.rfc-editor.org/info/rfc4034>.
[RFC4509] Hardaker, W., "Use of SHA-256 in DNSSEC Delegation Signer
(DS) Resource Records (RRs)", RFC 4509,
DOI 10.17487/RFC4509, May 2006,
<https://www.rfc-editor.org/info/rfc4509>.
[RFC5155] Laurie, B., Sisson, G., Arends, R., and D. Blacka, "DNS
Security (DNSSEC) Hashed Authenticated Denial of
Existence", RFC 5155, DOI 10.17487/RFC5155, March 2008,
<https://www.rfc-editor.org/info/rfc5155>.
[RFC5702] Jansen, J., "Use of SHA-2 Algorithms with RSA in DNSKEY
and RRSIG Resource Records for DNSSEC", RFC 5702,
DOI 10.17487/RFC5702, October 2009,
<https://www.rfc-editor.org/info/rfc5702>.
[RFC5933] Dolmatov, V., Ed., Chuprina, A., and I. Ustinov, "Use of
GOST Signature Algorithms in DNSKEY and RRSIG Resource
Records for DNSSEC", RFC 5933, DOI 10.17487/RFC5933, July
2010, <https://www.rfc-editor.org/info/rfc5933>.
[RFC6605] Hoffman, P. and W.C.A. Wijngaards, "Elliptic Curve Digital
Signature Algorithm (DSA) for DNSSEC", RFC 6605,
DOI 10.17487/RFC6605, April 2012,
<https://www.rfc-editor.org/info/rfc6605>.
[RFC6781] Kolkman, O., Mekking, W., and R. Gieben, "DNSSEC
Operational Practices, Version 2", RFC 6781,
DOI 10.17487/RFC6781, December 2012,
<https://www.rfc-editor.org/info/rfc6781>.
[RFC7583] Morris, S., Ihren, J., Dickinson, J., and W. Mekking,
"DNSSEC Key Rollover Timing Considerations", RFC 7583,
DOI 10.17487/RFC7583, October 2015,
<https://www.rfc-editor.org/info/rfc7583>.
[RFC8080] Sury, O. and R. Edmonds, "Edwards-Curve Digital Security
Algorithm (EdDSA) for DNSSEC", RFC 8080,
DOI 10.17487/RFC8080, February 2017,
<https://www.rfc-editor.org/info/rfc8080>.
[RFC8624] Wouters, P. and O. Sury, "Algorithm Implementation
Requirements and Usage Guidance for DNSSEC", RFC 8624,
DOI 10.17487/RFC8624, June 2019,
<https://www.rfc-editor.org/info/rfc8624>.
[RFC9364] Hoffman, P., "DNS Security Extensions (DNSSEC)", BCP 237,
RFC 9364, DOI 10.17487/RFC9364, February 2023,
<https://www.rfc-editor.org/info/rfc9364>.
[TLS-ciphersuites]
IANA, "Transport Layer Security (TLS) Parameters",
<https://www.iana.org/assignments/tls-parameters>.
This document is based on, and extends, RFC 8624, which was authored by Paul Wouters and Ondrej Sury.
この文書は、Paul Wouters と Ondrej Sury によって作成された RFC 8624 に基づいており、これを拡張したものです。
The content of this document was heavily discussed by participants of the DNSOP Working Group. The authors appreciate the thoughtfulness of the many opinions expressed by working group participants that all helped shaped this document. We thank Paul Hoffman and Paul Wouters for their contributed text and also Nabeel Cocker, Shumon Huque, Nicolai Leymann, S. Moonesamy, Magnus Nyström, Peter Thomassen, Stefan Ubbink, and Loganaden Velvindron for their reviews and comments.
この文書の内容は、DNSOP ワーキング グループの参加者によって頻繁に議論されました。著者らは、ワーキング グループの参加者から表明された多くの意見が、この文書の作成に役立ったという思慮深さに感謝しています。Paul Hoffman 氏と Paul Wouters 氏の寄稿文に感謝します。また、Nabeel Cocker 氏、Shumon Huque 氏、Nicolai Leymann 氏、S. Moonesamy 氏、Magnus Nyström 氏、Peter Thomassen 氏、Stefan Ubbink 氏、Loganaden Velvindron 氏のレビューとコメントに感謝します。
Wes Hardaker
USC/ISI
Email: ietf@hardakers.net
Warren Kumari
Google
Email: warren@kumari.net