Grazie @Andrea_Iannone , questa cosa è valida per il recupero del primo trust mark ma per il rinnovo pare che bisogna contattare il fetch endpoint finchè questo non ti restituisce quello nuovo … il problema è che sarebbe carino capire quando fetch inizia a restituire il nuovo trust mark con la nuova scadenza.
Riflettendo, il fatto che i trust mark vengano esposti tramite un array, consente di avere più trust mark esposti contemporaneamente. Anche in questa circostanza bisognerebbe capire se chi trusta valuta tutti i trust mark esposti.
Non so se i miei dubbi dipendano dal fatto che conosco poco OIDC, mi sono perso della documentazione o se effettivamente queste cose non siano state chiarite. Vengo da un esperienza con librerie SAML dove determinati dubbi non esistono, le procedure sono tutte relativamente chiare e possono portare a dei down del servizio.
Io posso chiamare tutti i giorni, per un centinaio di enti, l’enpoint di fetch in attesa che mi restituisca un trust mark di rinnovo ma non mi pare un approccio sensato… sopratutto se iniziamo tutti a fare così per un circa 10000 PA presenti sul territorio e magari qualche privato.
Oltre a questo, non è molto chiaro anche la gestione del JWKS che viene inserito in fase di registrazione della componente tecnica: quando il certificato di federazione scade cosa succede? Qual’e la procedura? Ho aperto una discussione sulla questione (Aggiornamento "Chiave pubblica di federazione") per capire cosa succede perché sia questa procedura di rinnovo, che quella per il JWKS, si prestano a dei grossi rischi di down del servizio e non le trovo molto chiare.
Rispetto a SAML, credo che in questa circostanza, si possano evitare dei down del servizio e magari gestire i rinnovi in modo automatico.
Scusate lo sfogo.