3.2.1. Enforcing Application Requirements (Anwendungsanforderungen)
3.2.1. Enforcing Application Requirements (Durchsetzung von Anwendungsanforderungen)
Die in diesem Dokument genannten Verifikationsanforderungen sind eine Basismenge, die allgemein gilt. Anwendungen, die HTTP-Nachrichtensignaturen nutzen, KÖNNEN darüber hinaus weitere Anforderungen stellen, sofern das für den Anwendungsfall sinnvoll ist.
Nicht normative Beispiele zusätzlicher Anforderungen:
-
Verlangen einer bestimmten Menge signierter Header-Felder (z. B.
Authorization,Content-Digest). -
Maximales Alter der Signatur ab
created. -
Ablehnung nach Ablaufzeit
expires. Die Ablaufzeit ist ein Hinweis des Signierenden; der Verifizierende kann eine Signatur auch vor Ablauf ablehnen. -
Verbot bestimmter Metadatenparameter, z. B. Laufzeit-Algorithmus-Signalisierung mit
alg, wenn der Algorithmus aus Schlüsselinformationen folgt. -
Erfolgreiche Auflösung von
keyidzu gültigem, passendem Schlüsselmaterial. -
Verbot bestimmter Algorithmen oder Vorgabe eines bestimmten Algorithmus.
-
Vorgabe minimaler Schlüsselgrößen (z. B. 2048 vs. 1024 Bit).
-
Eindeutigkeit des Parameters
nonce. -
Verlangen eines anwendungsspezifischen Wertes für
tag.
Anwendungsspezifische Anforderungen sind erwünscht. Definiert eine Anwendung solche, MUSS sie sie während der Signaturverifikation durchsetzen; die Verifikation MUSS fehlschlagen, wenn die Signatur den Anforderungen nicht entspricht.
Anwendungen MÜSSEN die Anforderungen dieses Dokuments durchsetzen. Unabhängig vom Anwendungsfall DÜRFEN Signaturen, die diesen Anforderungen nicht genügen, NICHT akzeptiert werden.