É hora de atualizar para a cadeia v5

Quem nunca deparou-se com as mensagens “esta conexão não é confiável” ou “o certificado de segurança do site não é confiável”? Além de alarmantes, tais mensagens levantam uma série de questionamentos sobre a segurança da nossa navegação e atentam sobremaneira ao bom relacionamento entre quem busca um serviço online e quem o oferta. Em geral, essas mensagens aparecem quando o certificado de segurança daquela página não foi emitido por uma autoridade certificadora confiável ou quando esta mesma autoridade certificadora não integra determinado repositório de confiança. Em ambos os casos, é preciso cautela e um pouco de bom senso.

No âmbito da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, todas as Autoridades Certificadoras são submetidas a um rigoroso processo de credenciamento por parte do Instituto Nacional de Tecnologia da Informação – ITI, que além de ser a autarquia federal responsável pela execução das políticas de certificação digital ICP-Brasil, é também a primeira Autoridade Certificadora desta infraestrutura. Significa dizer que utilizar certificados ICP-Brasil elimina quaisquer chances de sermos alertados quanto à confiabilidade de identidades na rede? Veremos a seguir a resposta a este questionamento.

Para ilustrar nosso entendimento, vejamos o exemplo do navegador Microsoft Edge. A Microsoft, empresa proprietária do software, tem o seu repositório de certificados raízes confiáveis e possui políticas de aceitação de entidades que emitem e gerenciam identidades na rede. Para que nosso certificado seja distribuído automaticamente, é necessária a inclusão de nossos certificados raízes neste repositório. Atualmente, a empresa norteamericana está em fase de avaliação da nossa mais nova cadeia, a v5, para então distribuí-la aos seus usuários.

Até que seja feita a adequação pela Microsoft, é preciso realizar este procedimento manualmente. É rápido, fácil e bastante prático. E como é que podemos ter certeza de que os certificados que vamos instalar em nosso computador são de fato seguros? Para contornar essa questão, o ITI disponibiliza em sua página as cadeias de certificação da Autoridade Certificadora Raiz Brasileira para Mozilla Firefox, Google Chrome, Internet Explorer, Microsoft Edge, Adobe Reader e Java. Basta acessar http://www.iti.gov.br/icp-brasil/navegadores e clicar sobre o ícone do software desejado.

Dúvida comum entre os que usam certificados digitais ICP-Brasil é quanto a suposta inconsistência técnica do certificado ICP-Brasil em relação a serviços web e softwares por conta das mensagens acima citadas. Na verdade, não existe nenhum problema com a certificação digital brasileira. Ocorre que determinadas entidades, em sua maioria públicas, exigem certificados ICP-Brasil para o envio de informações, como o FGTS ou a Nota Fiscal Eletrônica, justamente, pela credibilidade e validade jurídica que estes asseguram às transações e documentos eletrônicos. Significa dizer que elas, portanto, previamente os admitem seguros e confiáveis a ponto de constarem em seus repositórios de segurança.

Porém, desenvolvedores de aplicações nem sempre conseguem acompanhar toda a evolução das mais variadas ordens neste universo das tecnologias da comunicação e informação. Seria uma quimera o certificado ICP-Brasil não figurar nesse cenário. Seria. Atualmente, operamos com a cadeia v5, aprovada pelo Comitê Gestor da ICP-Brasil e em operação desde março de 2016. Evidentemente é necessário atualizar os sistemas que fazem uso de certificados ICP-Brasil para garantir a normalidade e o funcionamento dos mesmos. Esta atualização, por vezes, atrasa e temos então a ocorrência das mensagens de insegurança ou não reconhecimento dos certificados ICP-Brasil.

O que podemos afirmar é que nossos certificados digitais são extremamente modernos, seguros e respaldados não apenas pelo fator tecnológico, mas também pela aceitação de grandes entidades nacionais e internacionais. Dois exemplos nos servem bastante para confirmar o que digo.

O novo passaporte eletrônico brasileiro é aderente ao diretório Public Key Directory – PKD da Organização de Aviação Civil Internacional – ICAO, agência especializada das Nações Unidas que promove a segurança e padroniza os aeroportos e passaportes no mundo. Com esta adesão, o passaporte brasileiro passou a ser reconhecido nos e-gates, portões eletrônicos, dos aeroportos de todos os países aderentes ao sistema e são assinados com certificado digital no padrão da ICP-Brasil.

Cada país possui regulamentação e estrutura de PKI próprias. Para facilitar e agilizar a troca de informações entre as diversas nações a ICAO idealizou o PKD, um diretório seguro onde, seguindo regulamentações, os países aderentes depositam as informações dos certificados que compõem a cadeia de segurança com a qual eles assinam seus passaportes. Esse diretório centraliza a troca de informações entre todos os países. Neste mesmo repositório está depositado o certificado digital brasileiro.

O segundo exemplo é mais recente. A verificação da autenticidade de assinaturas ICP-Brasil em arquivos no formato PDF está mais simples com a inclusão do certificado da Autoridade Certificadora Raiz – AC-Raiz da ICP-Brasil nos repositórios da Adobe. A iniciativa tornou-se possível após a assinatura do Acordo de Cooperação entre o ITI e a Adobe. O certificado da AC-Raiz da ICP-Brasil faz parte da Adobe Approved Trust List – AATL, ou Lista de Confiança Aprovada pela Adobe.

Atenção, portanto, pessoas físicas e jurídicas, desenvolvedores, gestores de aplicações, enfim, todos os que trabalham com certificados ICP-Brasil, fica nossa orientação: é hora de atualizar para a cadeia v5. O ITI disponibiliza um arquivo .zip com todos os certificados das Autoridades Certificadoras credenciadas na ICP-Brasil, atualizado na medida em que estas tem seus certificados emitidos sob qualquer das cadeias vigentes da ICP-Brasil.

Acesse o link http://www.iti.gov.br/icp-brasil/repositorio/144-icp-brasil/repositorio/3886-repositorio-de-certificados-arquivo-unico-compactado e instale os certificados em seus sistemas e servidores. Desta forma, os usuários de aplicações que demandam certificados ICP-Brasil terão uma experiência mais segura e transparente.

Maurício Augusto Coelho
Diretor de Infraestrutura de Chaves Públicas do ITI

ACs de 1º nível que já operam a v5 – Receita Federal, Serasa, Certisign e Serpro
ACs de 2° nível que já operam a v5 – Certisign Múltipla.