Prerequisiti per gli utenti
- Un dispositivo Android con:
- SDK Android 28+
- Un Account Google attivo
- Blocco dispositivo attivato
- Nessun controller di dominio esistente
- Un documento di identità fisico
Sicurezza della connessione
Le connessioni tra i server di Google e dell'emittente devono rispettare i seguenti requisiti:
- Sia Google che gli emittenti devono presentare le chiavi durante gli handshake TLS
- I server non devono offrire
NULLo cifrari anonimi durante gli handshake TLS - Le connessioni devono supportare una delle seguenti cifrature
ECDHE-ECDSA-WITH-AES-128-GCM-SHA256ECDHE-ECDSA-WITH-AES-256-GCM-SHA384ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256ECDHE-RSA-WITH-AES-128-GCM-SHA256ECDHE-RSA-WITH-AES-256-GCM-SHA384ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256
- Tutti gli emittenti sono tenuti a utilizzare mTLS quando comunicano con i server Google.
Comunicazione da Google all'emittente
Quando Google comunica con i server dell'emittente, presenta un certificato client. Gli emittenti sono responsabili del pinning e della convalida di questo certificato. Google convaliderà quindi un certificato del server bloccato rispetto a quello presentato dall'emittente.
Comunicazione dell'emittente a Google
Quando gli emittenti comunicano con i server Google utilizzando le API Google Wallet Identity, devono presentare un certificato client. Google lo convaliderà rispetto a un certificato bloccato.