DNSSECのDSレコードで推奨されないアルゴリズム等について

2020年3月31日

IETF^（※1）よりDNSSECを長期にわたって安全に保つなどの理由により、DSレコードに登録するうえで利用を推奨しないアルゴリズム／ダイジェスト型^（※2）が新たに指定されました。

※1 IETF（Internet Engineering Task Force）インターネットで利用される技術の標準化を推進する組織。
※2 RFC8624にてMUST NOT（禁止）及びNOT RECOMMENDED（非推奨）に指定されたアルゴリズム／ダイジェスト型。

■MUST NOTまたはNOT RECOMMENDEDに指定されたアルゴリズム／ダイジェスト型

- アルゴリズム
 + 3（DSA）^※3
 + 5（RSASHA1）
 + 6（DSA-NSEC3-SHA）^※3
 + 7（RSASHA1-NSEC3-SHA1）
 + 10（RSASHA512）
 + 12（ECC-GOST）^※3 ※4

- ダイジェスト型
 + 1（SHA-1）^※3
 + 3（GOST R 34.11-94）^※3 ※4

※3 MUST NOTに指定。それ以外はNOT RECOMMENDEDに指定。
※4 現時点でJPドメイン名には利用できません。

■お願い事項

DNSSECをご利用しているお客様でDSレコードに上記アルゴリズム／ダイジェスト型を指定したDSレコードを設定している場合、上記以外のアルゴリズム／ダイジェスト型（を指定したDSレコード）への変更をお願い致します。
また、新しくDSレコードを設定される場合は、上記以外のアルゴリズム／ダイジェスト型であることをご確認ください。

※ 今後、日本レジストリサービス（以下、JPRS）では、JPドメイン名のDNSSECサービスにて、利用を推奨しないアルゴリズム／ダイジェスト型の新規受付終了及び利用停止を検討しているとの事です。
また、.com等のgTLDドメインのDNSSECサービスにつきましては、JPRSでの対応に関わらず、レジストリの技術上の要件により新規受付終了または利用停止となる可能性があるとの事です。あらかじめご了承ください。