O Instituto Nacional de Tecnologia da Informação (ITI) e o Serviço Federal de Processamento de Dados (Serpro) estão realizando a troca dos certificados digitais usados em vários sites da administração pública federal. O motivo é que os sites do governo passaram a apresentar erros de segurança no acesso após a troca dos certificados para a versão 5 da cadeia de infraestrutura de Chaves Públicas (ICP). Agora, novos certificados devem ser emitidos, mas usando a mais antiga versão 2.
O certificado digital é usado pelos sites para viabilizar a navegação em “HTTPS” e com o ícone do “cadeado de segurança” no navegador. A tecnologia confirma a identidade do site visitado. A ICP é um certificado gerenciado pelo próprio governo federal brasileiro, responsável não apenas por certificados de sites, mas também pela certificação digital em e-CPF e e-CNPJ.
Para que um site possa usar um certificado, ele precisa da assinatura digital de uma autoridade certificadora raiz (AC Raiz) presente em uma lista de entidades confiáveis do navegador. A AC Raiz brasileira não é universalmente aceita pelos navegadores na configuração de fábrica, o que gera erros e avisos de que os sites podem não ser confiáveis.
Em comunicado, o ITI explica que os certificados serão atualizados para usaram uma versão mais antiga da cadeia, a versão 2, de 2010, enquanto a versão 5, que causa problemas, é de 2016. A versão 2, segundo o órgão, é reconhecida pelos navegadores e sistemas operacionais e não traz risco aos internautas.
Certificado da cadeia v5 ainda em uso pelo Serpro com erro de site ‘não seguro’. (Foto: Reprodução)
“O ITI ressalta que a cadeia v2 possui requisitos de segurança extremamente robustos e modernos, e que a medida não traz quaisquer riscos aos sites de governo ou mesmo aos internautas”, afirmou o órgão.
Em testes da coluna Segurança Digital do G1, o certificado versão 2 é reconhecido pelo Windows, o que o faz ser reconhecido também no Google Chrome no Windows. Em outros sistemas operacionais – como o Android – ou no Mozilla Firefox, que usa uma lista própria de certificados reconhecidos, a cadeia versão 2 também apresenta erro.
Em outras palavras, quem usa outros navegadores ou sistemas continuará recebendo o erro, a menos que faça que uma configuração especial para incluir o certificado digital do governo na lista de entidades confiáveis.
O próprio Serpro, em sua página de “intranet”, não faz uso do certificado ICP-Brasil, preferindo o uso do Let’s Encrypt – uma entidade sem fins lucrativos que emite certificados digitais gratuitos e de confiabilidade reduzida, o que é compensado por uma validade de três meses (contra um ou dois anos de outros certificados). Diferente dos certificados do governo, o Let’s Encrypt é aceito por todos os navegadores modernos.
O ITI informou que “retomou os diálogos com os fabricantes dos sistemas operacionais mais populares de mercado e, tão logo, o certificado digital ICP-Brasil será automaticamente reconhecido independentemente de sua versão”.
Resistência
O ITI tenta há nove anos incluir a AC raiz brasileira na lista de certificados confiáveis do Firefox.
As discussões ainda estão em curso e, na última atualização, um colaborador aponta que a entidade brasileira ainda carece de uma auditoria exigida pela Mozilla, o que justifica a não inclusão do certificado no navegador.
O caso pode ser acompanhado, em inglês, no site Bugzilla (ver aqui).