7.1.1. 署名検証の省略 (Skipping Signature Verification)

HTTP メッセージ署名は, 検証者が署名を検証した場合にのみセキュリティを提供する. 署名が付与されたメッセージは, Signature または Signature-Input フィールドがなくとも有効な HTTP メッセージのままであるため, 検証者が検証関数の結果を無視したままメッセージを処理することがあり得る. よくある理由としては, 開発環境での要件緩和や, システム全体のデバッグ中に検証の強制を一時停止する場合などがある. そのような一時停止は, 正しい例に基づくテスト (positive-example testing) では検出しにくい. というのも, 有効な署名は検査の有無にかかわらず常に有効な応答を引き起こすからである.

これを検出するには, 検証者を有効な署名と無効な署名の両方で試験し, 無効な署名が期待どおり失敗することを確認すべきである (SHOULD).