Zum Hauptinhalt springen

7. Security Considerations (Sicherheitsüberlegungen)

7. Security Considerations (Sicherheitsüberlegungen)

Eine HTTP-Nachricht gilt nur dann als von einer Signatur abgedeckt (covered), wenn alle folgenden Bedingungen zutreffen:

  • Der Verifizierende erwartet die Signatur auf der Nachricht oder erlaubt sie.

  • Die Signatur ist auf der Nachricht vorhanden.

  • Die Signatur wird gegen das angegebene Schlüsselmaterial und den Algorithmus geprüft.

  • Schlüsselmaterial und Algorithmus sind für den Nachrichtenkontext angemessen.

  • Die Signatur liegt innerhalb der erwarteten Zeitgrenzen.

  • Die Signatur deckt den erwarteten Inhalt einschließlich kritischer Komponenten ab.

  • Die Liste abgedeckter Komponenten passt zum Kontext der Nachricht.

Neben den Anwendungsanforderungen aus Abschnitt 1.4 liefern die folgenden Abschnitte Kontext zum Erzeugen und Verifizieren von Signaturen auf HTTP-Nachrichten.

Letztes Update am