1. Nytt i Altinn
  2. Rotering av sertifikat benyttet for signering av samtykketokens

Nyhet

Rotering av sertifikat benyttet for signering av samtykketokens

Sist oppdatert 06-04-2021

Hvorfor er dette viktig?

Altinns samtykkeløsning baserer seg på at det utstedes tokens signert av et kjent sertifikat (privat nøkkel). Sertifikatet som Altinn til enhver tid benytter er publisert i et standard JWK-sett (JSON Web Key) som kan nås via vårt «OAuth2 Authorization Server Metadata»-endepunkt på https://www.altinn.no/.well-known/oauth-authorization-server. Merk at det er egne endepunkter for TT02-miljøet (bytt ut «www» med «tt02»).

Dette endepunktet lister til enhver tid opp minst to sertifikater (offentlige nøkler), og alle som verifiserer samtykketokens må håndtere at tokens kan være signert med hvilken som helst av disse.

Sertifikatet som har vært benyttet til å signere tokens til nå (med identifikator «Z7oti6zfXvnJXlFt5KA_nHSIa4M») løper ut mandag 12.04.2021 23:59:00 (norsk tid).
Vi vil derfor starte å benytte et annet sertifikat for å signere tokens, som allerede lenge har vært eksponert på dette JWK-endepunktet.

Alle tjenesteeiere som sjekker signatur på tokens må derfor konfigurere støtte for dette nye sertifikatet.

Hva kommer Altinn til å gjøre?
Mandag 12.04.2021 10:00:00 (norsk tid) vil Altinn rotere ut det gamle sertifikatet og begynne å signere samtykketokens med sertifikatet med identifikator «uf8jXLahQYHx5pzsV0XFoKP1zVE». Dette sertifikatet finnes allerede på det publiserte JWK-settet. Merk at dette er i tråd med vanlig praksis et selv-signert sertifikat, og inneholder ikke en sertifikatkjede til noen kjent sertifikatutsteder.

Vi beklager den korte varslingstiden.

Hva må jeg som tjenesteeier gjøre?

Hvis API-et dere eksponerer har korrekt implementert støtte for JWK-sett, vil dere ikke behøve å foreta dere noe, da dette håndteres automatisk.

Hvis API-et derimot har «hardkodet» sertifikat (offentlig nøkkel) som skal benyttes for å verifisere signaturen til samtykketokens fra Altinn, må dere rekonfigurere løsningen til å benytte den nye nøkkelen fra og med tidspunktet oppgitt i forrige punkt. Merk imidlertid at samtykketokens utstedes med en kort levetid, så dere vil kunne motta gyldige (ikke utgåtte) samtykketokens signert med den gamle nøkkelen i opptil 30 sekunder etter at rotering er foretatt.

Merk også at sertifikatet som vil bli rotert inn er selv-signert, og kan derfor ikke i seg selv verifiseres opp mot noen kjent sertifikatutsteder.

Hvis deres samtykketjeneste ikke belager seg på bruk av tokens, men  i stedet utelukkende bruker samtykkeliste-funksjonaliteten trenger dere heller ikke foreta dere noe.

Hva må jeg som konsument av samtykketjenester (bank) gjøre?

Normalt ingenting.

Samtykketokenet som Altinn utsteder er tiltenkt API-eier og skal av konsument behandles som en vilkårlig tekststreng, og skal ikke parses/valideres av konsument annet enn i feilsøkingssammenheng. Validering av samtykketokens skal utføres av API-eier.

Hvor kan jeg lese mer om dette?

Se Altinn-dokumentasjonen: https://altinn.github.io/docs/utviklingsguider/samtykke/datakilde/bruk-av-token/

Hvis du har noen spørsmål, ta kontakt på tjenesteeier@altinn.no eller på vår Slack på altinn.slack.com.