3.10 Signing by Parent Domains (親ドメインによる署名)

3.10. Signing by Parent Domains (親ドメインによる署名)

いくつかの状況では、各サブドメインで個別のセレクタ(鍵レコード)を維持する必要なく、ドメインがそのサブドメインのいずれかに代わって署名を適用することが望ましい場合があります。デフォルトでは、鍵レコードに対応する秘密鍵を使用して、それらが存在するドメインの任意のサブドメインのメッセージに署名できます; 例えば、example.comドメインの鍵レコードを使用して、AUID(署名の"i="タグ)がsub.example.com、さらにはsub1.sub2.example.comであるメッセージを検証できます。これが意図されていない場合にそのような鍵の機能を制限するために、鍵レコードの"t="タグに"s"フラグを設定して、AUIDのドメインの有効性を制約できます。参照される鍵レコードが"t="タグの一部として"s"フラグを含む場合、AUID("i="フラグ)のドメインはSDID(d=)ドメインと同じでなければなりません。このフラグが存在しない場合、AUIDのドメインはSDIDと同じか、そのサブドメインでなければなりません。