Rinnovo certificato Let''s Encrypt

andrea.carraro · 9 Giugno 2021, 3:03pm

Buongiorno, a lato di un rinnovo di certificato Let’s Encrypt legato ad un DNS dove risiedono dei servizi con autenticazione SPID, è necessario rigenerare il metadato e farlo validare da parte di Agid?

Chiedo questo in quanto abbiamo attivato un servizio con autenticazione SPID e con i primi 3 mesi di validità del certificato, l’autenticazione funziona regolarmente, subito dopo il rinnovo automatico del certificato, l’accesso all’identity provider segnala il seguente messaggio.

ErrorCode nr05

Pagina di cortesia con messaggio “Impossibile stabilire l’autenticità della richiesta di autenticazione - Contattare il gestore del servizio”

La cosa strana è che il servizio non è il principale, nel senso che il metadato è relativo a due servizi, il primo con un tipo di certificato Sectigo OpenSSL che a lato del rinnovo annuale non presenta mai delle anomalie e l’autenticazione continua a funzionare anche dopo il rinnovo, il secondo invece che ha certificato Let’s Encrypt e che risiede su un altro server, come indicato in precedenza, dopo il rinnovo ritorna quell’errore.

Rimango in attesa di un cortese riscontro.

Andrea Carraro

Saluti

AGS · 10 Giugno 2021, 7:39am

L’aggiornamento dei certificati della connessioni HTTPS non coinvolgono l’operatività delle delle federazioni SAML (in questo caso della federazione SPID).
Premesso che l’Error Code 5 è effettivamente relativo a problemi sulla firma delle AuthnRequest, le mie ipotesi sono che:

Il certificato in questione fosse utilizzato ANCHE come chiave pubblica per la firma delle AuthnRequest (ovvero contenuto in uno dei tag KeyDescriptor del metadata).
Due certificati distinti siano stati utilizzati per finalità diverse (connessione HTTPS e firma delle AuthnRequest) ma siano stati generati nello stesso giorno (e quindi siano scaduti entrambi nello stesso giorno).

In entrambi i casi, puoi verificare la validità dei certificati x509 contenuti nei tag KeyDescriptor tramite vari tool gratuiti online, come ad esempio questo tool oppure questo ulteriore tool.

Qualora uno dei certificati risultasse scaduto, è necessario sostituirlo nel metadata con un nuovo certificato valido, rifirmare il metadata e chiedere l’aggiornamento ad AgID.