02 de outubro de 2017 às 07h43m
Sites do governo recebem novos certificados para diminuir erros

O Instituto Nacional de Tecnologia da Informação (ITI) e o Serviço Federal de Processamento de Dados (Serpro) estão realizando a troca dos certificados digitais usados em vários sites da administração pública federal.

O motivo é que os sites do governo passaram a apresentar erros de segurança no acesso após a troca dos certificados para a versão 5 da cadeia de infraestrutura de Chaves Públicas (ICP). Agora, novos certificados devem ser emitidos, mas usando a mais antiga versão 2.

O certificado digital é usado pelos sites para viabilizar a navegação em "HTTPS" e com o ícone do "cadeado de segurança" no navegador. A tecnologia confirma a identidade do site visitado. A ICP é um certificado gerenciado pelo próprio governo federal brasileiro, responsável não apenas por certificados de sites, mas também pela certificação digital em e-CPF e e-CNPJ.

Para que um site possa usar um certificado, ele precisa da assinatura digital de uma autoridade certificadora raiz (AC Raiz) presente em uma lista de entidades confiáveis do navegador. A AC Raiz brasileira não é universalmente aceita pelos navegadores na configuração de fábrica, o que gera erros e avisos de que os sites podem não ser confiáveis.

Em comunicado, o ITI explica que os certificados serão atualizados para usaram uma versão mais antiga da cadeia, a versão 2, de 2010, enquanto a versão 5, que causa problemas, é de 2016. A versão 2, segundo o órgão, é reconhecida pelos navegadores e sistemas operacionais e não traz risco aos internautas.




Certificado da cadeia v5 ainda em uso pelo Serpro com erro de site 'não seguro'. (Foto: Reprodução)

"O ITI ressalta que a cadeia v2 possui requisitos de segurança extremamente robustos e modernos, e que a medida não traz quaisquer riscos aos sites de governo ou mesmo aos internautas", afirmou o órgão.

Em testes da coluna Segurança Digital do G1, o certificado versão 2 é reconhecido pelo Windows, o que o faz ser reconhecido também no Google Chrome no Windows. Em outros sistemas operacionais - como o Android - ou no Mozilla Firefox, que usa uma lista própria de certificados reconhecidos, a cadeia versão 2 também apresenta erro.

Em outras palavras, quem usa outros navegadores ou sistemas continuará recebendo o erro, a menos que faça que uma configuração especial para incluir o certificado digital do governo na lista de entidades confiáveis.

O próprio Serpro, em sua página de "intranet", não faz uso do certificado ICP-Brasil, preferindo o uso do Let's Encrypt - uma entidade sem fins lucrativos que emite certificados digitais gratuitos e de confiabilidade reduzida, o que é compensado por uma validade de três meses (contra um ou dois anos de outros certificados). Diferente dos certificados do governo, o Let's Encrypt é aceito por todos os navegadores modernos.

O ITI informou que "retomou os diálogos com os fabricantes dos sistemas operacionais mais populares de mercado e, tão logo, o certificado digital ICP-Brasil será automaticamente reconhecido independentemente de sua versão".

Resistência


O ITI tenta há nove anos incluir a AC raiz brasileira na lista de certificados confiáveis do Firefox.

As discussões ainda estão em curso e, na última atualização, um colaborador aponta que a entidade brasileira ainda carece de uma auditoria exigida pela Mozilla, o que justifica a não inclusão do certificado no navegador.

O caso pode ser acompanhado, em inglês, no site Bugzilla (ver aqui).

 


Fonte: g1.com

Compartilhar
Publicidade
Todos os direitos reservados para avol.com.br - no ar desde 2001