AuthnRequest Signature validation check error #178
Comments
|
I certificati utilizzati sono quelli prelevati dal metadata, quelli contenuti nella richiesta non vengono considerati vedi qui se riesci a capire quali elementi vadano considerati nella tua analisi |
|
poi mi chiedo come mai la verifica della firma della authn request ricada tra gli "extra" |
Ciao @peppelinux , la verifica della firma è inserita sia nel set di test "Strict" che in quello "Extra", in ogni caso è un'impostazione con cui viene richiamato spid_sp_test da spid-saml-check
|
|
Il comando è qui per HTTP POST
un test con una firma errata è qui proposto partendo da questo esempio o da altro è possibile generare una authn request firmata con una chiave diversa rispetto a quella configurata nel metadata, ed evidenziare l'errore. Dopodiché la PR dovrebbe includere un eventuale integrazione nel comando xmlsec1 per la risoluzione definitiva |
peppelinux
added
help wanted
Implementando SPID per una PA con già un metadata, abbiamo per errore utilizzato il certificato con cui è stato firmato il metadata
EntityDescriptor.Signature.KeyInfo.X509Data.X509Certificateanziché il certificato per la verifica della requestEntityDescriptor. SPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Utilizzando il validator, insieme a @damikael ci siamo accorti che in caso di request inviata in
Binding: HTTP-Redirectci viene correttamente segnalato l'erroreAuthnRequest Signature validationmentre se si invia la requestBinding: HTTP-POSTil check passa senza problemi.Secondo @damikael in caso di
Binding: HTTP-POSTla firma dellaAuthnRequestviene verificata con il certificato auto contenuto e non con il certificato dichiarato nel metadata.The text was updated successfully, but these errors were encountered: