首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >DKIM:我可以简单地更改DKIM中使用的RSA密钥而不更改DKIM选择器吗?

DKIM:我可以简单地更改DKIM中使用的RSA密钥而不更改DKIM选择器吗?
EN

Server Fault用户
提问于 2016-01-06 19:08:05
回答 2查看 2.1K关注 0票数 2

我是否可以简单地更改DKIM (DNS TXT记录)中使用的RSA密钥而不更改DKIM选择器,或者这会导致任何问题?

如果没有,DKIM选择器的目的是什么?

顺便说一句:20120113是我在20120113._domainkey.gmail.com中说的选择器

EN

回答 2

Server Fault用户

发布于 2016-01-08 17:33:17

我可以简单地更改DKIM (DNS TXT记录)中使用的RSA密钥而不更改DKIM选择器,或者这会导致任何问题吗?

是的,你可以,但没有一个好的理由,我强烈建议不要这样做。

以下是重用选择器不是一个好主意的原因:

  • DNS更改可能需要一些时间来传播。如果在密钥更改后重新使用选择器,则可能导致密钥更改后不久发送的电子邮件的验证失败。
  • 您不知道在发送和验证之间需要多长时间。这可能导致旧消息在密钥更改后无法进行验证。延误的一些可能原因:
  • 信息在传输过程中被卡住了。
  • 虽然我认为非常不常见,但验证也可以在MUA (对于雷鸟来说,有一个附加的功能来完成这个任务。)中进行。
  • 在RFC中:“重用带有新密钥的选择器(例如,更改与用户名相关的密钥)使得无法区分没有验证的消息之间的区别,因为密钥不再有效,而消息实际上是伪造的。因此,Signers建议重用选择器用于新密钥。更好的策略是将新密钥分配给新的选择器。”

DKIM选择器的用途是什么?

“支持每个签名域的多个并发公钥”。下面是并发密钥的一些用例:

  • “除了管理上的方便外,选择器可以在日常的基础上无缝地替换公钥。”
  • 允许不同的实体对您的电子邮件进行签名(使用不同的密钥和选择器),而不需要共享私钥。这对以下方面很有用:
  • 将签名委托给外部组织
  • 行政分布组织
  • 使显式撤销密钥成为可能(将公钥数据( "p=“标记)保持为空)。

所有的引号都来自RFC 6376。1:https://addons.mozilla.org/en-US/thunderbird/addon/dkim-verifier/ 2:https://www.rfc-editor.org/rfc/rfc6376#section-3.1

票数 3
EN

Server Fault用户

发布于 2016-01-06 22:18:59

你可以做到这一点。不过,这不一定是BCP。

有多个选择器的原因是明确的,这样一个键可以在旋转之后的一段时间内保持有效。

例如,如果您更改了选择器20120113中使用的RSA密钥,那么任何仍然在某个队列中并随后被传递的消息都将失败,因为密钥已经更改。

理想情况下,您可以发布一个新的密钥,如果您今天这样做了,那么可以发布一个20160106,并将其添加为一个额外的选择器。这样,就可以验证使用这两个键的消息。经过一段合理的时间,比如说两周后,你可以将旧的密钥销毁。

(我猜你不是真的指密钥20120113._domainkey.gmail.com吗?)如果您真的在谈论Gmail密钥,在更改任何内容之前,请停止并在内部与John交谈。)

票数 1
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/747190

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档