Zum Hauptinhalt springen

3.10 Signing by Parent Domains (Signierung durch übergeordnete Domänen)

3.10. Signing by Parent Domains (Signierung durch übergeordnete Domänen)

Unter bestimmten Umständen ist es wünschenswert, dass eine Domäne eine Signatur im Namen einer ihrer Subdomänen anwendet, ohne separate Selektoren (Schlüsseldatensätze) in jeder Subdomäne pflegen zu müssen. Standardmäßig können private Schlüssel, die Schlüsseldatensätzen entsprechen, zum Signieren von Nachrichten für jede Subdomäne der Domäne verwendet werden, in der sie sich befinden; zum Beispiel kann ein Schlüsseldatensatz für die Domäne example.com zum Verifizieren von Nachrichten verwendet werden, bei denen der AUID ("i="-Tag der Signatur) sub.example.com oder sogar sub1.sub2.example.com ist. Um die Fähigkeit solcher Schlüssel einzuschränken, wenn dies nicht beabsichtigt ist, KANN das "s"-Flag im "t="-Tag des Schlüsseldatensatzes gesetzt werden, um die Gültigkeit der Domäne des AUID zu beschränken. Wenn der referenzierte Schlüsseldatensatz das "s"-Flag als Teil des "t="-Tags enthält, MUSS die Domäne des AUID ("i="-Flag) mit der des SDID (d=)-Domäne identisch sein. Wenn dieses Flag fehlt, MUSS die Domäne des AUID mit der SDID identisch sein oder eine Subdomäne davon sein.

Letztes Update am