[HREF-tech] eduID HREF Key Rollover 2020

László Attila laszlo.attila at kifu.gov.hu
2021. Aug. 26., Cs, 15:55:04 CEST 

Szia!

1.: Úgy gondolom, hogy manapság a HTTPS-t bármilyen eszközzel meg lehet ugrani. Azt nem vitatom, hogy ezáltal komplexebb lett a rendszer.

2.: Igen, erre számítottunk is. Az érintettek már felvették velünk a kapcsolatot és megoldották.

3.: A tanúsítványt 2020-ban készítettük, azóta folyamatosan teszteltük. A saját rendszereinkben már több hónapja átálltunk az új rendszerre mielőtt élesítettük volna. Gondoltunk a legacy rendszerekre is, a tesztek során úgy láttuk, hogy tudják kezelni a 301-es redirectet. Az access, error logok alapján én azt látom, hogy minden legacy és current IdP/SP, rendben le tudja tölteni az XML fájlokat.

Gyufi: Itt nálunk elég széles skálán futnak a pyFF verziók (0.10.0dev -> 2.0-ig) és egyik sem állt meg az átirínyás miatt.

Cél az volt, hogy a korábbi metadata oldal statikus tartalmát megőrizzük. Összeségében, én nem ragaszkodom az átirányításhoz, ha ez ekkora breaking change-t okoz. Viszont, ha megszűntetjük az átirányítást, akkor a mostani metadata oldal statikus tartalmát a wiki-re kell áthelyezni.

Üdv,
Attila

On 2021. 08. 26. 14:46, "HREF-tech on behalf of Frank Tamás" <href-tech-bounces at listserv.niif.hu on behalf of frank.tamas at wigner.hu> wrote:

    Urak,

    > On 2021. Aug 26., at 14:24, eduID csoport <info at eduid.hu> wrote:
    > 
    > Ha amennyiben kérdésed vagy észrevételed van: info at eduid.hu

    észrevételem volna :)

    1. Az aláírt metadata fájlokat továbbra is érdemesnek gondolnám sima http felett is kiszolgálni, ezzel is egy faktorral csökkentve a hibalehetőségek számát. Az ellenőrzés úgyis az xml aláírás alapján történik.

    2. Ott viszont komolyabb hibalehetőséget látok, hogy a fájlok kiszolgálása nem a metadata.eduid.hu domain alól történik. Egyfelől láttunk már olyat, hogy egy intézménynél kifelé is tűzfal van, domain irányba van kiengedve a forgalom...stb, 

    3. De amit én legkomolyabb kockázatnak látok itt, hogy régebbi curl, vagy hasonló implementációk akár shib, akár ssp, akár egyéb saml megoldás részéről biztosan előfordul, hogy az átirányítást nem fogja követni az s3.eduid.hu -ra.

    Összegezve, nem baj, hogy az s3 is kiszolgál, de fontosnak látom, hogy a metadata.eduid.hu domainről nativan is, átirányítások nélkül megtörténjen az aláírt metadata fájlok kiszolgálása.

    üdv
    sitya


    _______________________________________________
    HREF-tech mailing list
    HREF-tech at listserv.niif.hu
    https://listserv.niif.hu/mailman/listinfo/href-tech

--------- következő rész ---------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 5460 bytes
Desc: nem elérhető
URL: <https://listserv.niif.hu/pipermail/href-tech/attachments/20210826/0208b499/attachment.bin>

További információk a(z) HREF-tech levelezőlistáról