Salve, causa della scadenza del certificato utilizzato per il metadata, abbiamo notato che vi sono alcuni provider che non effettuano la verifica di validità del certificato stesso. E’ una cosa accettabile? L’anomalia (o presunta tale) si è riscontrata sino alla sostituzione del certificato
Ciao Daniele,
si parla del certificato di firma delle asserzioni (keydescriptor=signing) o di firma del metadata?
Grazie
Umberto Rosini
Agenzia per l’Italia Digitale
Di firma del metadata, per intenderci l’equivalente nostro di spid-metadata-signer/certs/agid-test-cert.crt at master · italia/spid-metadata-signer · GitHub
Ok, se è scaduto il certificato di firma del metadata non è un problema di sicurezza nel senso che il metadata prima di venire caricato sugli idp viene validato da agid e importato sul registro.
Sarebbe stato un grosso problema di sicurezza se l’SP non avesse validato il certificato di firma delle asserzioni.
Umberto Rosini
Agenzia per l’Italia Digitale