Info su certificato scaduto ma login a buon fine

Salve, causa della scadenza del certificato utilizzato per il metadata, abbiamo notato che vi sono alcuni provider che non effettuano la verifica di validità del certificato stesso. E’ una cosa accettabile? L’anomalia (o presunta tale) si è riscontrata sino alla sostituzione del certificato

Ciao Daniele,
si parla del certificato di firma delle asserzioni (keydescriptor=signing) o di firma del metadata?

Grazie

Umberto Rosini
Agenzia per l’Italia Digitale

Di firma del metadata, per intenderci l’equivalente nostro di https://github.com/italia/spid-metadata-signer/blob/master/certs/agid-test-cert.crt

Ok, se è scaduto il certificato di firma del metadata non è un problema di sicurezza nel senso che il metadata prima di venire caricato sugli idp viene validato da agid e importato sul registro.
Sarebbe stato un grosso problema di sicurezza se l’SP non avesse validato il certificato di firma delle asserzioni.

Umberto Rosini
Agenzia per l’Italia Digitale