3.10 Signing by Parent Domains (父域签名)

3.10. Signing by Parent Domains (父域签名)

在某些情况下, 希望域代表其任何子域应用签名, 而无需在每个子域中维护单独的 selector (密钥记录)。默认情况下, 与密钥记录对应的私钥可用于为其所在域的任何子域签名消息; 例如, example.com 域的密钥记录可用于验证 AUID (签名的 "i=" 标签) 为 sub.example.com 甚至 sub1.sub2.example.com 的消息。为了在不希望时限制此类密钥的能力, 可以在密钥记录的 "t=" 标签中设置 "s" 标志, 以约束 AUID 域的有效性。如果引用的密钥记录包含 "s" 标志作为 "t=" 标签的一部分, 则 AUID ("i=" 标志) 的域必须与 SDID (d=) 域相同。如果此标志不存在, 则 AUID 的域必须与 SDID 相同或为其子域。