Documentação das especificações do GT de Segurança do Open Banking Brasil. As especificações ainda estão em versão draft e não devem ser utilizadas para implementação.
66
stars
46
forks
source link
Esclarecer o uso de uma jwks_uri do servidor de autorização #314
Isso está abrindo uma brecha para que uma instituição exponha em seu servidor de autorização a jwks_uri do software statement do diretório ao invés de expor uma própria com seu próprio certificado
Olá! A documentação não deixa claro a necessidade da instituição expor uma própria jwks_uri para o seu servidor de autorização
A tabela https://openbanking-brasil.github.io/specs-seguranca/open-banking-brasil-certificate-standards-1_ID1-ptbr.html#section-8.3 do item 8.3 deixa implícito que a instituição deve expor uma jwks_uri própria protegida pelo certificado EV ou ICP-Brasil, porém, não existe nenhuma regra que proíba que as instituições usem uma jwks_uri externa ao invés de expor uma própria
Isso está abrindo uma brecha para que uma instituição exponha em seu servidor de autorização a jwks_uri do software statement do diretório ao invés de expor uma própria com seu próprio certificado
Sugiro que seja modificado em https://openbanking-brasil.github.io/specs-seguranca/open-banking-brasil-financial-api-1_ID3-ptbr.html#name-servidor-de-autoriza231227o no item 5.2.2 adicionando um ponto 18, dizendo que a instituição deve expor uma própria jwks_uri para seu servidor de autorização (e também deixando explicito que cada servidor de autorização deve ter suas próprias chaves)