3.2.1. Application des exigences de l'application (Enforcing Application Requirements)

3.2.1. Application des exigences de l'application

Les exigences de vérification précisées dans ce document constituent un ensemble de restrictions de base généralement applicables à tous les cas d'usage. Les applications utilisant les signatures de message HTTP PEUVENT imposer des exigences au-delà de celles de ce document, selon leur cas d'usage.

Voici des exemples non normatifs d'exigences supplémentaires qu'une application pourrait définir:

• Exiger qu'un ensemble précis de champs d'en-tête soit signé (par ex. Authorization, Content-Digest).

• Imposer un âge maximal de la signature par rapport à l'horodatage created.

• Rejeter les signatures après l'heure d'expiration de l'horodatage expires. Notez que l'heure d'expiration est une indication du signataire et qu'un vérificateur peut toujours rejeter une signature avant son expiration.

• Interdire certains paramètres de métadonnées de signature, comme la signalisation d'algorithme à l'exécution avec le paramètre alg lorsque l'algorithme est déterminé à partir des informations de clé.

• Garantir la déréférence réussie du paramètre keyid vers un matériel de clé valide et approprié.

• Interdire certains algorithmes ou imposer un algorithme spécifique.

• Exiger des clés d'une certaine taille (par ex. 2048 bits contre 1024 bits).

• Imposer l'unicité du paramètre nonce.

• Exiger une valeur du paramètre tag propre à l'application.

Des exigences propres à l'application sont attendues et encouragées. Lorsqu'une application définit des exigences supplémentaires, elle DOIT les appliquer pendant le processus de vérification de la signature, et la vérification de la signature DOIT échouer si la signature ne respecte pas les exigences de l'application.

Les applications DOIVENT appliquer les exigences définies dans ce document. Quel que soit le cas d'usage, les applications NE DOIVENT PAS accepter de signatures non conformes à ces exigences.