Dentro del protocolo DNSSEC existen ciertas operaciones criptográficas que pueden variar, dependiendo de la implementación escogida por el firmador de una zona. Por ejemplo, una firma RRSIG puede ser hecha tanto usando RSASHA1, RSASHA512, como ECC-GOST; o bien todas, a gusto del administrador de la zona.
Lo mismo ocurre para el cálculo de los hashes de DS y NSEC3, que pueden ser escogidos de entre varias opciones.
Un servidor, al responder con registros DNSSEC envía todos los algoritmos que dispone para la zona, identificados con números estandarizados. Cada validador selecciona entonces los que desee o pueda verificar.
Lo que está incorporando el nuevo RFC6975 es un mecanismo para que sea además el propio cliente quien dentro de su consulta DNS pueda incluir el dato de qué algoritmos es capaz de entender en la validación. Esto es una señal al servidor, pero este último no debe variar su respuesta de acuerdo a lo que se le indique. Sólo está permitido que lo registre, pero debe responder con sus conjunto de algoritmos habituales.
El objetivo de esta señalización es más bien para ayudar al operador de la zona a decidir en qué momento puede dejar de utilizar un algoritmo específico, y cuándo es el momento para agregar uno nuevo más avanzado. Es importante tener en cuenta que los nuevos algoritmos que aparezcan serán mejores en términos de seguridad (resistencia a ataques) y quizás en rendimiento (verificaciones más rápidas, o firmas más pequeñas), pero sin embargo un mantenedor de zona debe mantener un equilibrio entre lo avanzado que puede ir en sus algoritmos de firma y lo que realmente es capaz de validar la población de resolvers. Cada introducción de nuevos algoritmos es lenta, porque requiere que de a poco los validadores implementen las nuevas opciones, y luego que se instalen operativamente. El RFC6975 ayudará a que sea simple verificar en el tráfico real la adopción que está teniendo un algoritmo, su aceptación a escala mundial, y el momento de dejar de utilizar algoritmos antiguos.
A nivel de implementación, esta señalización es opcional, y debe ir dentro del campo de extensión EDNS0 del paquete de consulta. Los nuevos registros son
El RFC6975 es fruto del trabajo del working group DNSEXT* (Extensiones al DNS) de la IETF, y tiene un status de “estándar propuesto”. Esto significa que deben pasar unos años para ver su efectividad en implementaciones, su interoperabilidad y uso en la Internet real; antes de transformarse en un estándar definitivo.