Versões comparadas

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

Os Certificados de Aplicação Cliente (Transporte) são utilizados para autenticar o canal mTLS e para realizar a autenticação da aplicação cliente através de oAuth2.0 mTLS ou private_key_jwt, de acordo com o cadastro da aplicação realizado pelo processo de Dynamic Client Registration junto à entidade transmissora. Sobre o mTLS, o certificado cliente precisa ser enviado com a cadeia intermediária, conforme RFC5246 (itens 7.4.2 e 7.4.6). Caso a cadeia intermediária não for enviada, a entidade transmissora deve rejeitar a conexão.

Para emissão de Certificado Cliente é necessário que a instituição participante do Open Insurance Brasil tenha realizado o cadastro da aplicação no Serviço de Diretório, através do processo de emissão de Software Statement Assertion, e com isso já tenha obtido o valor de Software Statement ID.

...

Apenas deverá ser aceito certificados indicados com "Situação: válido" nestes repositórios do ITI acima referenciados que são de Cadeia ICP-Brasil v5 e v10.

Além disso, os representantes das Autoridades Certificadoras estão convidados a participar das reuniões semanais de alinhamento do GT de Interfaces e Segurança do Open Insurance. Para obter mais informações e expressar interesse, favor contatar o Secretariado através do e-mail: secretariado@opinbrasil.com.br

5.2.4 Certificado para Front-End

Os certificados para Front-End são utilizados para disponibilizar serviços, em geral páginas Web, com uso de TLS, que são acessados pelo usuário final. Dado a sua finalidade, e para garantir maior interoperabilidade, os certificados devem ser do tipo EV (Extended Validation) e devem ser ser gerados através de uma autoridade certificadora válida, seguindo as regras definidas na RFC 5280 e RFC 2818, em conformidade com os princípios e critérios WebTrust.

6. Apêndice

Modelo de Configuração de Certificado Cliente - OpenSSL

...

Fica a critério da instituição a escolha do certificado que deve ser adotado para os endpoints da Fase 1, os quais, por natureza, são de acesso público.

Fase

Grupo

APIs (em construção)

Certificado

mTLS

NA

OIDC

.well-known/openid-configuration

EV ou ICP WEB SSL

n/a

NA

OIDC

jwks_uri

EV ou ICP WEB SSL

n/a

NA

OIDC

authorization_endpoint

EV

n/a

NA

OIDC

token_endpoint

ICP WEB SSL

Obrigatório

NA

OIDC

userinfo_endpoint

ICP WEB SSL

Obrigatório

NA

OIDC

pushed_authorization_request_endpoint

ICP WEB SSL

Obrigatório

NA

DCR

registration_endpoint

ICP WEB SSL

Obrigatório

NA

OIDC

revocation_endpoint

ICP WEB SSL

Obrigatório

2

Consentimentos

/consents/*

ICP WEB SSL

Obrigatório

2

Resources

/resources/*

ICP WEB SSL

Obrigatório

2

Dados

/customers/*

ICP WEB SSL

Obrigatório

2

Transacionais

/insurance-*/*

ICP WEB SSL

Obrigatório