Sites do governo recebem novos certificados para diminuir erros
O Instituto Nacional de Tecnologia da Informação (ITI) e o Serviço Federal de Processamento de Dados (Serpro) estĂŁo realizando a troca dos certificados digitais usados em vĂĄrios sites da administração pĂșblica federal. O motivo Ă© que os sites do governo passaram a apresentar erros de segurança no acesso apĂłs a troca dos certificados para a versĂŁo 5 da cadeia de infraestrutura de Chaves PĂșblicas (ICP). Agora, novos certificados devem ser emitidos, mas usando a mais antiga versĂŁo 2. O certificado digital Ă© usado pelos sites para viabilizar a navegação em "HTTPS" e com o Ăcone do "cadeado de segurança" no navegador. A tecnologia confirma a identidade do site visitado. A ICP Ă© um certificado gerenciado pelo prĂłprio governo federal brasileiro, responsĂĄvel nĂŁo apenas por certificados de sites, mas tambĂ©m pela certificação digital em e-CPF e e-CNPJ.
Para que um site possa usar um certificado, ele precisa da assinatura digital de uma autoridade certificadora raiz (AC Raiz) presente em uma lista de entidades confiåveis do navegador. A AC Raiz brasileira não é universalmente aceita pelos navegadores na configuração de fåbrica, o que gera erros e avisos de que os sites podem não ser confiåveis.
Em comunicado, o ITI explica que os certificados serĂŁo atualizados para usaram uma versĂŁo mais antiga da cadeia, a versĂŁo 2, de 2010, enquanto a versĂŁo 5, que causa problemas, Ă© de 2016. A versĂŁo 2, segundo o ĂłrgĂŁo, Ă© reconhecida pelos navegadores e sistemas operacionais e nĂŁo traz risco aos internautas.
Certificado da cadeia v5 ainda em uso pelo Serpro com erro de site 'não seguro'. (Foto: Reprodução)
"O ITI ressalta que a cadeia v2 possui requisitos de segurança extremamente robustos e modernos, e que a medida não traz quaisquer riscos aos sites de governo ou mesmo aos internautas", afirmou o órgão.
Em testes da coluna Segurança Digital do G1, o certificado versão 2 é reconhecido pelo Windows, o que o faz ser reconhecido também no Google Chrome no Windows. Em outros sistemas operacionais - como o Android - ou no Mozilla Firefox, que usa uma lista própria de certificados reconhecidos, a cadeia versão 2 também apresenta erro.
Em outras palavras, quem usa outros navegadores ou sistemas continuarå recebendo o erro, a menos que faça que uma configuração especial para incluir o certificado digital do governo na lista de entidades confiåveis.
O prĂłprio Serpro, em sua pĂĄgina de "intranet", nĂŁo faz uso do certificado ICP-Brasil, preferindo o uso do Let's Encrypt - uma entidade sem fins lucrativos que emite certificados digitais gratuitos e de confiabilidade reduzida, o que Ă© compensado por uma validade de trĂȘs meses (contra um ou dois anos de outros certificados). Diferente dos certificados do governo, o Let's Encrypt Ă© aceito por todos os navegadores modernos.
O ITI informou que "retomou os diĂĄlogos com os fabricantes dos sistemas operacionais mais populares de mercado e, tĂŁo logo, o certificado digital ICP-Brasil serĂĄ automaticamente reconhecido independentemente de sua versĂŁo".
ResistĂȘncia
O ITI tenta hĂĄ nove anos incluir a AC raiz brasileira na lista de certificados confiĂĄveis do Firefox.
As discussĂ”es ainda estĂŁo em curso e, na Ășltima atualização, um colaborador aponta que a entidade brasileira ainda carece de uma auditoria exigida pela Mozilla, o que justifica a nĂŁo inclusĂŁo do certificado no navegador.
O caso pode ser acompanhado, em inglĂȘs, no site Bugzilla (ver aqui).
ADS
Postar um comentĂĄrio