我是否可以简单地更改DKIM (DNS TXT记录)中使用的RSA密钥而不更改DKIM选择器,或者这会导致任何问题?
如果没有,DKIM选择器的目的是什么?
顺便说一句:20120113是我在20120113._domainkey.gmail.com中说的选择器
发布于 2016-01-08 17:33:17
是的,你可以,但没有一个好的理由,我强烈建议不要这样做。
以下是重用选择器不是一个好主意的原因:
“支持每个签名域的多个并发公钥”。下面是并发密钥的一些用例:
所有的引号都来自RFC 6376。1:https://addons.mozilla.org/en-US/thunderbird/addon/dkim-verifier/ 2:https://www.rfc-editor.org/rfc/rfc6376#section-3.1
发布于 2016-01-06 22:18:59
你可以做到这一点。不过,这不一定是BCP。
有多个选择器的原因是明确的,这样一个键可以在旋转之后的一段时间内保持有效。
例如,如果您更改了选择器20120113中使用的RSA密钥,那么任何仍然在某个队列中并随后被传递的消息都将失败,因为密钥已经更改。
理想情况下,您可以发布一个新的密钥,如果您今天这样做了,那么可以发布一个20160106,并将其添加为一个额外的选择器。这样,就可以验证使用这两个键的消息。经过一段合理的时间,比如说两周后,你可以将旧的密钥销毁。
(我猜你不是真的指密钥20120113._domainkey.gmail.com吗?)如果您真的在谈论Gmail密钥,在更改任何内容之前,请停止并在内部与John交谈。)
https://serverfault.com/questions/747190
复制相似问题