You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Isso está abrindo uma brecha para que uma instituição exponha em seu servidor de autorização a jwks_uri do software statement do diretório ao invés de expor uma própria com seu próprio certificado
Olá! A documentação não deixa claro a necessidade da instituição expor uma própria jwks_uri para o seu servidor de autorização
A tabela https://openbanking-brasil.github.io/specs-seguranca/open-banking-brasil-certificate-standards-1_ID1-ptbr.html#section-8.3 do item 8.3 deixa implícito que a instituição deve expor uma jwks_uri própria protegida pelo certificado EV ou ICP-Brasil, porém, não existe nenhuma regra que proíba que as instituições usem uma jwks_uri externa ao invés de expor uma própria
Isso está abrindo uma brecha para que uma instituição exponha em seu servidor de autorização a jwks_uri do software statement do diretório ao invés de expor uma própria com seu próprio certificado
Sugiro que seja modificado em https://openbanking-brasil.github.io/specs-seguranca/open-banking-brasil-financial-api-1_ID3-ptbr.html#name-servidor-de-autoriza231227o no item 5.2.2 adicionando um ponto 18, dizendo que a instituição deve expor uma própria jwks_uri para seu servidor de autorização (e também deixando explicito que cada servidor de autorização deve ter suas próprias chaves)
The text was updated successfully, but these errors were encountered: