Af Mikkel Hald, 26/06/19
Hvis du driver en applikation som kommunikerer med WAYF, altså en indholdstjeneste eller en institutions logintjeneste, så skal du være opmærksom på at WAYF fra og med 15. august 2019 kun validerer og selv udsteder digitale signaturer med SHA-256 som hashingalgoritme.
Det drejer sig her ikke om HTTPS, men derimod om de signaturer som indgår i føderationsprotokollen “oven på” HTTPS, dvs. om XML-signaturerne i login-svarene og om værdierne af GET-parameteren Signature ved loginforespørgsler og ved logoutmeddelelser. I browseren kan man med visse plugins (FireFox, Chrome) se på protokoltrafikken hvilken algoritme dens signatur er hash'et med: i GET-trafik værdien af parameteren SigAlg, i POST'ede XML-dokumenter værdien af Algorithm i elementerne SignatureMethod og DigestMethod. Fra 15. august bør kun værdier som ender på sha256, optræde dér.
Allerede nu validerer WAYF signaturer som er hash'et med SHA-256. Hvis du driver en applikation som kommunikerer med WAYF, kan du derfor allerede nu sætte den til at bruge SHA-256 i kommunikationen med WAYF. Hvis du ikke har gjort det inden 15. august, holder WAYF op med at virke sammen med din applikation den dag.
Hvis din applikation modtager login-svar fra WAYF, skal du inden 15. august have sat den op til at kunne validere SHA-256-signaturer i login-svar. Og hvis din applikation signerer sine login-forespørgsler til WAYF, skal du inden samme dag have sat den op til at bruge SHA-256 i signaturen eller have konfigureret den til ikke at signere forespørgslerne. Hvis du forsømmer nogen af delene, holder WAYF-login op med at virke sammen med din applikation den dag.
Læs her hvordan du kan teste om din applikation er i stand til at validere SHA-256-baserede signaturer i login-svar.
Hvis din applikation er en institutions logintjeneste, skal du inden 15. august have sat den til at signere sine XML-svar til WAYF med SHA-256. Ellers holder WAYF-login op med at virke med din applikation den dag.
Hvis din applikation har logOUT-kommunikation med WAYF, skal du inden 15. august have sat den op til at signere og kunne validere logout-meddelelser med SHA-256. Ellers holder WAYF-logout op med at virke sammen med din applikation den dag.
Tidligere har vi haft 1. juli som deadline for udfasning af algoritmer som er mindre sikre end SHA-256. Men hermed er udfasningen altså udskudt til 15. august 2019.
ACCEPTED
REJECTED