MTLS opzionale: sono obbligato ad utilizzare MTLS per autenticare i client?
No, non sono obbligato ad utilizzare MTLS per autenticare i client.
Le LG Sicurezza API (Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici) includono tra i meccanismi di autenticazione e autorizzazione previsti dal requisito SIC_API_01, il protocollo OAuth2 §5.1.7.
Le LG PDND (Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati) definiscono l'implementazione OAuth2 della piattaforma, che è quindi compatibile con i contenuti delle LG Sicurezza API.
Come indicato nelle LG Interoperabilità Tecnica ( Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni), l'unico pattern di sicurezza sempre obbligatorio è ID_AUTH_CHANNEL_01 ossia l'autenticazione del server tramite certificato TLS emesso da una CA riconosciuta.