<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html;
      charset=windows-1252">
  </head>
  <body>
    <font face="Times New Roman, Times, serif"><font face="Times New
        Roman, Times, serif">Date header has been part of  <a
          moz-do-not-send="true"
          href="https://datatracker.ietf.org/doc/html/rfc3261.html">RFC-3261
          SIP</a> for 19 years now, but was not used all that much.    </font>IAT
      and Date are both part of the specs and more recent RFC's that
      define stir-shaken.   So the seldom-used but long time defined
      Date: header is now required.    Furthermore, IAT is part of the
      formal JSON in the Identity header and must be present, or the
      claims are not valid.    <br>
      <br>
      Normally, IAT would restate the Date with Unix Epoch date.   IAT
      is signed, but the Date header is not signed.   <br>
      <br>
      When a call is received and Verified, the the plain-text signed
      JSON is validated.   If verified IAT is stale, the call is
      rejected.   True, someone could mess with Date header along the
      route or SIP From header or PAI.   And for that matter, someone
      could mess with the JSON attributes that are signed.   But then
      the verification would fail, and the call should not be
      delivered.   That's part of the beauty of the system.    <br>
      <br>
      Best regards,<br>
    </font>
    <blockquote><font face="Times New Roman, Times, serif">John</font><br>
    </blockquote>
    <br>
    <div class="moz-cite-prefix">On 7/1/2021 12:29, Joseph Jackson
      wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:82561198239b424ca7643498001f760c@MBX080-W1-CO-1.exch080.serverpod.net">
      <meta http-equiv="Content-Type" content="text/html;
        charset=windows-1252">
      <meta name="Generator" content="Microsoft Word 14 (filtered
        medium)">
      <style>@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#44546A;}.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}div.WordSection1
        {page:WordSection1;}</style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
      <div class="WordSection1">
        <p class="MsoNormal"><span style="color:#44546A">I’ve heard that
            TNSi also counts on the date header being present. 
            <o:p></o:p></span></p>
        <p class="MsoNormal"><span style="color:#44546A"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="color:#44546A">So far we don’t
            see a lot of people passing tokens with the date header.<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="color:#44546A"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="color:#44546A"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="color:#44546A"><o:p> </o:p></span></p>
        <div>
          <div style="border:none;border-top:solid #B5C4DF
            1.0pt;padding:3.0pt 0in 0in 0in">
            <p class="MsoNormal"><b><span
style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span
style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">
                VoiceOps [<a class="moz-txt-link-freetext" href="mailto:voiceops-bounces@voiceops.org">mailto:voiceops-bounces@voiceops.org</a>]
                <b>On Behalf Of </b>Matthew Yaklin<br>
                <b>Sent:</b> Thursday, July 01, 2021 12:25 PM<br>
                <b>To:</b> <a class="moz-txt-link-abbreviated" href="mailto:voiceops@voiceops.org">voiceops@voiceops.org</a><br>
                <b>Subject:</b> [VoiceOps] question about stir/shaken -
                iat and DATE header<o:p></o:p></span></p>
          </div>
        </div>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">All,<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">Pretty simple question here. When you do a
          verify request are you filling in the iat with your sbc’s
          current date/time or using the DATE information from the
          invite?<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">With Neustar the iat is currently optional.
          IQNT is basically removing the DATE header in a test we are
          doing by sending them a call and getting it back in a
          different region.<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">It really does not make sense to me to use
          the DATE header because it could be messed with by anyone in
          the path. It is untrusted. The iat is trusted so when you
          verify it makes more sense to use the current date/time of
          your SBC because the limitation is 60 seconds from AS to VS.<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">I imagine Neustar made it optional because
          their own system has some intelligence when it comes to this
          expiration of the AS.<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">On top of that Metaswitch is not prepared
          for this situation. They are basically counting on that DATE
          header to be there in their recommended perimeta SBC config.
          They plan to fix it by using the current date/time.<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">Just looking for how others are handling
          this. Just leaving it blank for now?<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">Matt<o:p></o:p></p>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <pre class="moz-quote-pre" wrap="">_______________________________________________
VoiceOps mailing list
<a class="moz-txt-link-abbreviated" href="mailto:VoiceOps@voiceops.org">VoiceOps@voiceops.org</a>
<a class="moz-txt-link-freetext" href="https://puck.nether.net/mailman/listinfo/voiceops">https://puck.nether.net/mailman/listinfo/voiceops</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>