Может ли сертификат, который был отозван / переиздан, по-прежнему использоваться для подписи SAML?

Question

У меня есть сертификат организации, который необходимо переиздать из-за недоверия браузера (Chrome / FF) к сертификатам RapidSSL, выпущенным до определенной даты.Справка: https://knowledge.digicert.com/generalinformation/INFO4627.html.

Однако у нас есть внутренняя настройка единого входа (SAML 2.0), использующая тот же сертификат для подписи с нашими клиентами.Я оцениваю, может ли отзыв и переиздание сертификата поставить под угрозу нашу настройку единого входа, и новый открытый ключ должен быть передан нашим клиентам.Из того, что я вижу, этого не должно быть, поскольку срок действия сертификата не истек.Я бы понял, что это похоже на использование самозаверяющего сертификата.Правильно ли я это делаю?

Answer 1

SAML2 использует формат сертификата как удобный способ передачи ключей.Доверие к сертификату основано на прямых настроенных отношениях с Idp, а не через общедоступную корневую систему CA.

Это то, что метаданные SAML2 говорят о сертификатах:

В качестве конкретного примера не следует предполагать никаких последствий включения сертификата X.509 по значению или ссылке.Срок его действия, продления, статус отзыва и другой соответствующий контент могут применяться, а могут и не применяться, по усмотрению проверяющей стороны.

Хотя разрешает проверяющей стороне выполнять дополнительные проверки, он выполняетне требуют и не гарантируют, что любые такие проверки пройдут.

Как правило, я бы сказал, что продолжение использования сертификата должно быть приемлемым, но вам необходимо проверить это с настроенными проверяющими сторонами (поставщиками услуг в обычных условиях SAML2).) что они не подтверждают сертификат.