<div dir="ltr">That the ticket <a href="https://bitbucket.org/openid/connect/issues/1127">https://bitbucket.org/openid/connect/issues/1127</a> indicates a Component of Core and Milestone of Errata suggests that an erratum change to specification(s) is intended. So that should be changed. <br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jan 17, 2020 at 3:02 PM Mike Jones via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net">openid-specs-fapi@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="EN-US">
<div class="gmail-m_-952355204997363661WordSection1">
<p class="MsoNormal"><span style="color:rgb(0,32,96)">Filip is correct.  The intent is only to enforce this behavior in certified implementations – not to change the specifications.  This is being done to increase interoperability.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(0,32,96)"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(0,32,96)">There’s lots of cases where we intentionally constrain certified implementations beyond what’s strictly required by the specifications to increase interoperability.  For instance, the test “(OP-IDToken-kid) IDToken
 has kid [Basic, Implicit, Hybrid]” requires that the ID Token always contains a Key ID, even though the Connect spec only requires it when there are multiple keys in the JWK Set.  This was done so that it could be counted on.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(0,32,96)"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(0,32,96)">Likewise, the WG decision to require unique “kid” values goes beyond the spec, but eliminates a number of potential errors resulting from odd corner cases.  I firmly believe that the working made the right call
 to enforce this in the certification suite.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(0,32,96)"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(0,32,96)">                                                          -- Mike<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(0,32,96)"><u></u> <u></u></span></p>
<div>
<div style="border-color:rgb(225,225,225) currentcolor currentcolor;border-style:solid none none;border-width:1pt medium medium;padding:3pt 0in 0in">
<p class="MsoNormal"><b>From:</b> Openid-specs-fapi <<a href="mailto:openid-specs-fapi-bounces@lists.openid.net" target="_blank">openid-specs-fapi-bounces@lists.openid.net</a>>
<b>On Behalf Of </b>Filip Skokan via Openid-specs-fapi<br>
<b>Sent:</b> Friday, January 17, 2020 1:42 PM<br>
<b>To:</b> Financial API Working Group List <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>><br>
<b>Cc:</b> Filip Skokan <<a href="mailto:panva.ip@gmail.com" target="_blank">panva.ip@gmail.com</a>><br>
<b>Subject:</b> [EXTERNAL] Re: [Openid-specs-fapi] Duplicate kids in jwks<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">I don’t think it’s clear whether the intent was an errata or a proposal to the WG to further constrain the Connect certification profile. <u></u><u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12pt">I believe we could only do the latter. <u></u><u></u></p>
<div>
<p class="MsoNormal">Odesláno z iPhonu<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><br>
<br>
<u></u><u></u></p>
<blockquote style="margin-top:5pt;margin-bottom:5pt">
<p class="MsoNormal" style="margin-bottom:12pt">17. 1. 2020 v 22:05, Brian Campbell via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>>:<u></u><u></u></p>
</blockquote>
</div>
<blockquote style="margin-top:5pt;margin-bottom:5pt">
<div>
<p class="MsoNormal"><u></u><u></u></p>
<div>
<p class="MsoNormal">For better or worse JOSE allowed for duplicate kids and Connect didn't constrain it. So requiring uniqueness is a breaking change that an erratum shouldn't be doing. I guess that counts as a negative opinion towards the decision in
<a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fbitbucket.org%2Fopenid%2Fconnect%2Fissues%2F1127&data=02%7C01%7CMichael.Jones%40microsoft.com%7C3551ece54c0549a9fb0008d79b962a4e%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637148942095112814&sdata=lqMLz%2BB19FKwQyV4z4m8hWZZ%2FrAJArE6Pd84xfRaBdk%3D&reserved=0" target="_blank">
https://bitbucket.org/openid/connect/issues/1127</a> <u></u><u></u></p>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<p class="MsoNormal">On Fri, Jan 17, 2020 at 12:50 AM Joseph Heenan via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>> wrote:<u></u><u></u></p>
</div>
<blockquote style="border-color:currentcolor currentcolor currentcolor rgb(204,204,204);border-style:none none none solid;border-width:medium medium medium 1pt;padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in">
<div>
<p class="MsoNormal">Hi all,<u></u><u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">I wanted to direct the FAPI working group to this discussion within the Connect working group:<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal"><a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fbitbucket.org%2Fopenid%2Fconnect%2Fissues%2F1127&data=02%7C01%7CMichael.Jones%40microsoft.com%7C3551ece54c0549a9fb0008d79b962a4e%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637148942095122809&sdata=xOLPeYfXtphZIKATqdr6Qun9LLSkZrWWL0G2JdTsC8Q%3D&reserved=0" target="_blank">https://bitbucket.org/openid/connect/issues/1127</a><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Namely that duplicate kids are not permitted in JWKS.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">A test for this was recently added to all the conformance tests, which caused one of the UK banks to opine:<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<blockquote style="margin-top:5pt;margin-bottom:5pt">
<p class="MsoNormal">it is valid for the JWK endpoint to return multiple KID instances, one for each ‘alg’ supported?<br>
The spec calls for the alg PS256 or longer to be supported, so we also have (for instance) PS384, PS512. And although we may show a couple that we don’t need, my point is that it must be valid to show multiple key entries to support multiple valid alg values. <u></u><u></u></p>
</blockquote>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">To some extent this seems a reasonable point, reusing a key across across two algs that can use the same key seems ok, and arguably perhaps better than having the key once without an ‘alg’ specified.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">As this affects the FAPI certification tests, I wanted to check the FAPI WG agrees with the decision in <a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fbitbucket.org%2Fopenid%2Fconnect%2Fissues%2F1127&data=02%7C01%7CMichael.Jones%40microsoft.com%7C3551ece54c0549a9fb0008d79b962a4e%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637148942095132801&sdata=V8UtOzKQhIeFFBnhGyaRUWQn1nLqGhTrIAm7vQakV1o%3D&reserved=0" target="_blank">https://bitbucket.org/openid/connect/issues/1127</a> -
 any opinions (positive & negative) would be great please.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Thanks<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Joseph Heenan<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">OpenID Certification Team<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>
<p class="MsoNormal">_______________________________________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
<a href="https://nam06.safelinks.protection.outlook.com/?url=http%3A%2F%2Flists.openid.net%2Fmailman%2Flistinfo%2Fopenid-specs-fapi&data=02%7C01%7CMichael.Jones%40microsoft.com%7C3551ece54c0549a9fb0008d79b962a4e%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637148942095132801&sdata=TJ3cqqBG8djh97YuhMzUICSiodGgapRMRzljvrXjJhg%3D&reserved=0" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><u></u><u></u></p>
</blockquote>
</div>
<p class="MsoNormal"><br>
<b><i><span style="font-size:10pt;font-family:"Segoe UI",sans-serif;color:rgb(85,85,85);border:1pt none windowtext;padding:0in">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s).
 Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</span></i></b>_______________________________________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><u></u><u></u></p>
</div>
</blockquote>
</div>
</div>
</div>

_______________________________________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>
</blockquote></div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>