Fare un provider OpenID con SSL

Question

in modo Attualmente sto cercando di fare un provider OpenID. Ho provato con due server OpenID basato su Java pacchetti- Folla di Atlassian, e WSO2 Identity Server. Ora, nella mia realizzazione, la sicurezza è un must, il che significa utilizzando SSL e HTTPS avendo OpenIDs based. Ora, sia per WSO2 e la folla di un gran numero di siti semplicemente non funzionano con i OpenIDs forniti. Di 20 siti testati, 8 fallito con la folla, e 10 non riuscita con WSO2. Questo alto tasso di fallimento non è davvero accettabile. Praticamente ogni sito che ha un problema sostiene che non riescono a trovare un endpoint OpenID.

Quando ho usato le OpenIDs senza SSL (così HTTP OpenIDs basate) improvvisamente i siti erano di gran lunga più compatibile, con solo due di loro venire a mancare. Sto usando un certificato da AusCERT, in modo che il problema non dovrebbe essere a causa di certificati autofirmati.

In un primo momento ho pensato che questo era solo una questione di che vi sia un gran numero di RP, che semplicemente non ha accettato HTTPS OpenIDs based. Ho provato la registrazione negli stessi siti che stava venendo a mancare su un OpenID basato HTTPS da Verisign, però, e ha funzionato. Guardando più da vicino sia WSO2 e la folla ho scoperto che né completamente conforme a OpenID 2.0 SPECIFICA in particolare, nessuno di essi forniscono un collegamento in testa a un documento XRDS per Yadis scoperta. Considerando che il mio problema è che i siti non può scoprire un endpoint OpenID presso l'URL ho dato, sembra rilevante, tranne che quando non si utilizza SSL scoperta base HTML è sufficiente.

Qualcuno ha qualche comprensione quanto a dove il mio problema si trova davvero? Il documento XRDS mancanti sembra che dovrebbe essere rilevante, ma potrebbe essere solo una falsa pista. Baring che, se qualcuno conosce una buona alternativa alla folla o WSO2 che è ben documentato, funziona bene per spec, ed è (relativamente) facile da configurare, sarebbe bello sapere!

Answer 1

Una cosa da guardare è che i certificati SSL alcuni fornitori non sono firmati da autorità radice che sono considerati autorevoli da alcuni RP. Assicurati di ottenere il certificato da uno che tutti RP fiducia.

Se .NET è un'opzione per il vostro fornitore, controllare il libero e open source DotNetOpenAuth biblioteca, che è possibile ospitare te stesso e viene usato da alcuni grandi PO come MySpace e netidme.com e altri . E 'implementazione di OpenID 2.0 è completa, supporta il governo degli Stati Uniti ICAM OpenID 2.0, profilo, ed è stato utilizzato per molti test di interoperabilità, sicurezza e conformità, e funziona sia con OpenID 1.1 e 2.0 RP in modo che si sarebbe molto probabilmente di avere buona interoperabilità con molti / tutte le RP. Ha un sacco di sicurezza aggiuntiva caratteristiche che si può solo accendere (come richiede HTTPS come hai detto è un requisito).

(Full disclosure:. Ho scritto DotNetOpenAuth)