Metadata Poste con due elementi KeyDescriptor

Buongiorno,
avrei bisogno di un chiarimento :

attualmente, il metadata di Poste presenta due elementi KeyDescriptor entrambi con l’attribute “use:signing”

<md:IDPSSODescriptor WantAuthnRequestsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
**<md:KeyDescriptor use="signing">**
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>MIIFgzCCA2</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
**<md:KeyDescriptor use="signing">**
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>MIIFizCCA3O...</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>

1. è una cosa corretta?
2. come faccio a capire quale dei due certificati usare?

E’ una cosa corretta, coerente con le regole SAML, che prevedono che tu possa inserire più di un certificato all’interno di un metadata.
Se provi a decodificare i certificati con uno dei vari decorder x509 disponibili online (ad es. questo ), ti accorgerai che il primo certificato scade fra qualche giorno.
La presenza di due certificati serve proprio a gestire in maniera indolore il passaggio fra un certificato in scadenza ed uno nuovo.
Solitamente gli IAM possono gestire più di un certificato, cosicchè quando ricevono una Response da un IdP, provano a verificarla con tutti i certificati del metadata IdP.
Se almeno 1 di essi verifica la Response, allora è considerata è buona.
Se invece nessun certificato la verifica, allora la Response viene ripudiata

Ah ok, è tutto chiaro, grazie mille per la risposta e buona giornata.

Poste sta ancora rispondendo con il certificato in scadenza il 19/02/2024. Sono da considerarsi valide risposte con certificato scaduto? quando poste userà il “nuovo”?

mi rispondo da solo. Ora poste sta rispondendo con il “nuovo” certificato