Aller au contenu principal

3.10 Signing by Parent Domains (Signature par les domaines parents)

3.10. Signing by Parent Domains (Signature par les domaines parents)

Dans certaines circonstances, il est souhaitable qu'un domaine applique une signature au nom de l'un de ses sous-domaines sans avoir besoin de maintenir des selectors séparés (enregistrements de clés) dans chaque sous-domaine. Par défaut, les clés privées correspondant aux enregistrements de clés peuvent être utilisées pour signer des messages pour n'importe quel sous-domaine du domaine dans lequel elles résident; par exemple, un enregistrement de clé pour le domaine example.com peut être utilisé pour vérifier des messages où l'AUID (tag "i=" de la signature) est sub.example.com, ou même sub1.sub2.example.com. Afin de limiter la capacité de telles clés lorsque cela n'est pas prévu, le drapeau "s" PEUT être défini dans le tag "t=" de l'enregistrement de clé, pour contraindre la validité du domaine de l'AUID. Si l'enregistrement de clé référencé contient le drapeau "s" dans le cadre du tag "t=", le domaine de l'AUID (drapeau "i=") DOIT être le même que celui du domaine SDID (d=). Si ce drapeau est absent, le domaine de l'AUID DOIT être le même que, ou un sous-domaine de, le SDID.

Dernière mise à jour le