Passa al contenuto principale

3.10 Signing by Parent Domains (Firma da parte dei domini genitori)

3.10. Signing by Parent Domains (Firma da parte dei domini genitori)

In alcune circostanze, è auspicabile che un dominio applichi una firma per conto di uno qualsiasi dei suoi sottodomini senza la necessità di mantenere selettori separati (record di chiavi) in ciascun sottodominio. Per impostazione predefinita, le chiavi private corrispondenti ai record di chiavi possono essere utilizzate per firmare messaggi per qualsiasi sottodominio del dominio in cui risiedono; ad esempio, un record di chiave per il dominio example.com può essere utilizzato per verificare messaggi in cui l'AUID (tag "i=" della firma) è sub.example.com, o anche sub1.sub2.example.com. Per limitare la capacità di tali chiavi quando ciò non è inteso, il flag "s" PUÒ essere impostato nel tag "t=" del record di chiave, per vincolare la validità del dominio dell'AUID. Se il record di chiave referenziato contiene il flag "s" come parte del tag "t=", il dominio dell'AUID (flag "i=") DEVE essere lo stesso di quello del dominio SDID (d=). Se questo flag è assente, il dominio dell'AUID DEVE essere lo stesso di, o un sottodominio di, l'SDID.

Ultimo aggiornamento il