Ho letto un po 'sulla configurazione di shibboleth e sui raccomandazioni per SAML su internet2
Capisco che un certificato non deve essere firmato quando viene utilizzato per SAML, perché in realtà è necessaria solo la chiave. Tuttavia, continuo a vedere persone che raccomandano di non usare il certificato TLS dei server Web per la firma delle richieste SAML.
Ho capito che potrebbe causare problemi di configurazione per alcuni tipi di configurazioni in cui non ci si aspetta che i client controllino l'intera catena di certificati. Ma attualmente sto usando il nostro certificato TLS come nostro certificato SAML, e non ho riscontrato alcun problema, quindi sembra che funzioni nel nostro caso.
Il nostro certificato sta per scadere, quindi ho iniziato a sviluppare un nuovo certificato, che implica l'invio della nuova chiave pubblica all'IDp. Ora il nostro idp risponde con:
I prefer to work with a self-signed certificate for SAML-signing & -encryption. I see no reason to use the webserver's certificate for this purpose.
E mi consiglia di creare un certificato autofirmato e riprovare.
Tuttavia, altre persone nella mia squadra non vedono una ragione per non usare questo certificato, e non posso trovarne immediatamente uno io stesso. Ci sono delle buone ragioni contro entrambi questi 2 apochi?
Un motivo per cui la creazione di un certificato autofirmato e l'utilizzo di quello è che abbiamo bisogno di un altro controllo quando questa cert sta per scadere, e non possiamo dimenticare di fare un rollover, mentre ora abbiamo un controllo per i server web Il certificato TLS e un controllo per verificare questo certificato SAML potrebbero essere difficili da configurare. Perché dovremmo preoccuparci di farlo se la nostra configurazione attuale funziona?
Qualcuno può darmi qualche suggerimento sul motivo per cui uno di questi 2 approcci è una cattiva idea?