INFORMATIVE NOTE: The Local-part of the “i=” tag is optional because, in some cases, a signer may not be able to establish a verified individual identity. In such cases, the signer might wish to assert that although it is willing to go as far as signing for the domain, it is unable or unwilling to commit to an individual user name within their domain. It can do so by including the domain part but not the Local-part of the identity.
11. RFC 4871, Section 3.8, Signing by Parent Domains
Original Text:
e.g., a key record for the domain can be used to verify messages where the signing identity (“i=” tag of the signature) is, or even In order to limit the capability of such keys when this is not intended, the “s” flag may be set in the “t=” tag of the key record to constrain the validity of the record to exactly the domain of the signing identity. If the referenced key record contains the “s” flag as part of the “t=” tag, the domain of the signing identity (“i=” flag) MUST be the same as that of the d= domain. If this flag is absent, the domain of the signing identity MUST be the same as, or a subdomain of, the d= domain.
Corrected Text:
…for example, a key record for the domain can be used to verify messages where the AUID (“i=” tag of the signature) is, or even In order to limit the capability of such keys when this is not intended, the “s” flag MAY be set in the “t=” tag of the key record, to constrain the validity of the domain of the AUID. If the referenced key record contains the “s” flag as part of the “t=” tag, the domain of the AUID (“i=” flag) MUST be the same as that of the SDID (d=) domain. If this flag is absent, the domain of the AUID MUST be the same as, or a subdomain of, the SDID.
11. RFC 4871、3.8節、親ドメインによる署名
たとえば、ドメイン の鍵レコードは署名アイデンティティ(署名の”i=”タグ)が 、または といったサブドメインであるメッセージの検証に利用できる。このような用法を認めない場合にこのような鍵の能力を制限するには、鍵レコードの”t=”タグ中に”s”フラグを設定してもよい。”s”フラグはレコードの有効性を署名アイデンティティのドメインに限る。参照される鍵レコードが”t=”タグの一部として”s”フラグを含んでいる場合、署名アイデンティティのドメイン(“i=”フラグ)は d= ドメインと同一でなければならない(MUST)。このフラグがない場合、署名アイデンティティのドメインは d= ドメインと同一またはそのサブドメインでなけばならない(MUST)。
…たとえば、 の鍵レコードはAUID(署名の”i=”タグ)が または といったサブドメインであるメッセージの検証に利用できる。このような用法を認めない場合にこのような鍵の能力を制限するためには、鍵レコードの”t=”タグ中に”s”フラグを設定してもよい。”s”フラグはAUIDのドメインの有効性を制限する。参照される鍵レコードが”t=”タグの一部として”s”フラグを含んでいる場合、AUIDのドメイン(“i=”フラグ)はSDID(d=)ドメインと同一でなければならない(MUST)。このフラグがない場合、AUIDのドメインはSDIDと同一またはそのサブドメインでなければならない(MUST)。
[Page 9]
1 4 5 6 7 9 10 11 12 13 14 |