Zum Hauptinhalt springen

Anhang A. Beispieltext (Sample Text)

Anhang A. Beispieltext (Sample Text)

Zum Zeitpunkt der Erstellung dieses Dokuments verwenden zwei Anwendungstechnologien die Empfehlungen dieser Spezifikation wieder: E-Mail [EMAIL-SRV] und XMPP [XMPP]. Wir fügen hier Text aus [XMPP] bei, um den Denkprozess zu veranschaulichen, dem Protokolldesigner für andere Anwendungstechnologien folgen könnten. Insbesondere verwendet XMPP DNS SRV-Einträge zur Auflösung des Anwendungsdienst-Domänennamens, weshalb die XMPP-Spezifikation die Verwendung der SRV-ID empfiehlt.

Der Text zur Zertifikatsausstellung lautet wie folgt:

In einem PKIX-Zertifikat, das von einem XMPP-Server präsentiert wird (d. h. einem "Server-Zertifikat"), muss das Zertifikat eine oder mehrere XMPP-Adressen (d. h. Domänenteile) enthalten, die mit dem am Standort des Servers gehosteten XMPP-Dienst verbunden sind. Die in [dieser Spezifikation] definierten Regeln und Richtlinien gelten für XMPP-Server-Zertifikate, mit den folgenden XMPP-spezifischen Überlegungen:

  • Unterstützung für den DNS-ID-Identifikatortyp [PKIX] ist in XMPP-Client- und Server-Software-Implementierungen ERFORDERLICH (REQUIRED). Zertifizierungsstellen, die XMPP-spezifische Zertifikate ausstellen, MÜSSEN (MUST) den DNS-ID-Identifikatortyp unterstützen. XMPP-Dienstanbieter SOLLTEN (SHOULD) den DNS-ID-Identifikatortyp in Zertifikatsanforderungen einschließen.

  • Unterstützung für den SRV-ID-Identifikatortyp [SRVNAME] ist in XMPP-Client- und Server-Software-Implementierungen ERFORDERLICH (REQUIRED) (zu Überprüfungszwecken müssen XMPP-Client-Implementierungen nur den Anwendungsdienst-Typ "_xmpp-client" unterstützen, während XMPP-Server-Implementierungen sowohl die Anwendungsdienst-Typen "_xmpp-client" als auch "_xmpp-server" unterstützen müssen). Zertifizierungsstellen, die XMPP-spezifische Zertifikate ausstellen, SOLLTEN (SHOULD) den SRV-ID-Identifikatortyp unterstützen. XMPP-Dienstanbieter SOLLTEN (SHOULD) den SRV-ID-Identifikatortyp in Zertifikatsanforderungen einschließen.

  • Die Unterstützung für den XmppAddr-Identifikatortyp wird in XMPP-Client- und Server-Software-Implementierungen aus Gründen der Abwärtskompatibilität gefördert, wird jedoch nicht mehr in Zertifikaten gefördert, die von Zertifizierungsstellen ausgestellt oder von XMPP-Dienstanbietern angefordert werden.

  • Der DNS-Domänenname in einem Server-Zertifikat KANN (MAY) das Wildcard-Zeichen '*' als das vollständige linke Label im Identifikator enthalten.

Der Text zur Zertifikatsüberprüfung lautet wie folgt:

Für Server-Zertifikate gelten die in [dieser Spezifikation] definierten Regeln und Richtlinien, mit der Einschränkung, dass der XmppAddr-Identifikator als Referenzidentifikator zulässig ist.

Die zu überprüfenden Identitäten werden wie folgt festgelegt:

  • Die initiierende Entität setzt ihren Referenzidentifikator auf die 'to'-Adresse, die sie im anfänglichen Stream-Header übermittelt; d. h. dies ist die Identität, die sie von der empfangenden Entität in einem PKIX-Zertifikat erwartet.

  • Die empfangende Entität setzt ihren Referenzidentifikator auf die 'from'-Adresse, die von der initiierenden Entität im anfänglichen Stream-Header übermittelt wurde; d. h. dies ist die Identität, die die initiierende Entität zu behaupten versucht.

Letztes Update am