Description
Implementando SPID per una PA con già un metadata, abbiamo per errore utilizzato il certificato con cui è stato firmato il metadata EntityDescriptor.Signature.KeyInfo.X509Data.X509Certificate anziché il certificato per la verifica della request EntityDescriptor. SPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.
Utilizzando il validator, insieme a @damikael ci siamo accorti che in caso di request inviata in Binding: HTTP-Redirect ci viene correttamente segnalato l'errore AuthnRequest Signature validation mentre se si invia la request Binding: HTTP-POST il check passa senza problemi.
Secondo @damikael in caso di Binding: HTTP-POST la firma della AuthnRequest viene verificata con il certificato auto contenuto e non con il certificato dichiarato nel metadata.