关于签名的 saml 请求和响应附加密钥
About signed saml request and response attached key
我想知道为什么 saml 签名请求和响应 XML 附加密钥。
我看到签名自带证书了?
SP和IDP之间不是应该提前协商好证书吗?
我只是想知道攻击者是否可以用自己的私钥对被入侵的消息进行签名,并将他们的 public 密钥交给 SP 进行验证。
或者响应证书将被验证以匹配已经协商的证书?那为什么在每个 request/response 上附加证书是 necessary/bother?
您的推理是正确的:证书或对它的一些唯一引用(如指纹)应该已经在带外协商过。
在两种情况下随请求一起发送证书是有用的:
- 您只协商了指纹或 subject/issuer 而不是实际证书
- 您可以滚动证书,并且新旧证书都已交换;那么请求中包含的证书将阻止接收方在找到当前签名密钥之前必须依次尝试每个密钥
但我也认为很多时候证书只是包含在内,因为它是发件人使用的 SAML 软件堆栈的默认设置...
我想知道为什么 saml 签名请求和响应 XML 附加密钥。
我看到签名自带证书了?
SP和IDP之间不是应该提前协商好证书吗?
我只是想知道攻击者是否可以用自己的私钥对被入侵的消息进行签名,并将他们的 public 密钥交给 SP 进行验证。
或者响应证书将被验证以匹配已经协商的证书?那为什么在每个 request/response 上附加证书是 necessary/bother?
您的推理是正确的:证书或对它的一些唯一引用(如指纹)应该已经在带外协商过。
在两种情况下随请求一起发送证书是有用的:
- 您只协商了指纹或 subject/issuer 而不是实际证书
- 您可以滚动证书,并且新旧证书都已交换;那么请求中包含的证书将阻止接收方在找到当前签名密钥之前必须依次尝试每个密钥
但我也认为很多时候证书只是包含在内,因为它是发件人使用的 SAML 软件堆栈的默认设置...