Versões comparadas

Versão antiga 18

changes.mady.by.user Renan Amorim Costa (Unlicensed)

Gravado em

comparado com

Nova versão 19

changes.mady.by.user Renan Amorim Costa (Unlicensed)

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.
Índice
minLevel1
maxLevel7

...

A cláusula 3 do Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Names define os OIDs obrigatórios cujas as strings do AttributeType (descritores) devem ser reconhecidos pelos implementadores. Esta lista obrigatória não inclui vários dos OIDs definidosem Open Finance Brasil x.509 Certificate Standards, nem existe um mecanismo definido para os Servidores de Autorização publicarem informações sobre o formato que eles esperam de uma Solicitação Dinâmica de Registro do Cliente (Dynamic Client Registrarion) que inclui um tls_client_auth_subject_dn.

...

Observação: A RFC7592 prevê a possibilidade de rotação do registration_access_token emitido pelo Servidor de Autorização a cada uso, tornando-o um token de uso único. As instituições devem considerar esse aspecto no registro de suas aplicações cliente para receber e atualizar o registration_access_token pelo novo valor recebido nas chamadas de manutenção de cliente.

9.4. Validação de certificados de assinatura

  • O diretório realiza a validação do certificado de assinatura através da função cert rescan, a cada hora.

  • As instituições devem assegurar que o processo de validação é realizado.

  • Cada instituição deve ter alternativa de contingência em caso de indisponibilidade do serviço de validação realizado pelo diretório.

  • Ao identificar que o certificado de assinatura não é válido pois, está com status revogado de acordo com o OCSP/CRL da CA emissora, ou está inativo no cadastro do diretório, o conjunto de chaves públicas é movido para o repositório de chaves inativas (Inactive Keystore).

  • É recomendado que o processo de validação inclua:

    • Validação da assinatura da mensagem do Transmissor de Dados, a ser feita pelo Receptor de Dados

      • Validar se a mensagem está assinada conforme o Message Signature Guidelines, incluindo se o iss é igual ao organisation_id do servidor que emitiu a mensagem.

      • Buscar a declaração iss do JWT e gerar URI do JWKS publicado no diretório, para consulta.

      • Certificar se o kid do cabeçalho JWT da mensagem está presente no diretório JWKS.

      • Validar se a chave privada para o kid correspondente é capaz de validar a assinatura da mensagem.

    • Validação da assinatura da mensagem do Receptor de Dados, a ser feita pelo Transmissor de Dados

      • Validar se a mensagem está assinada conforme o Message Signature Guidelines.

      • Obter o org_jwks_uri que foi apresentado no SSA pelo cliente no momento do DCR.

      • Certificar se o kid do cabeçalho JWT da mensagem está presente no diretório JWKS.

      • Validar se a chave privada para o kid correspondente é capaz de validar a assinatura da mensagem.

...