A diferencia de los metadatos WS-Federation / WS-Trust, el punto final de descubrimiento de OpenID no está firmado. Esto da como resultado un cantidad de amenazas que son posibles en este punto final.
¿Hay alguna justificación para no firmar este punto final? ¿Hay efectividad limitada para hacerlo?