Autoridade Certificadora: o que é e como escolher

E se eu me deparar com uma entidade não vinculada à ICP-Brasil, uma espécie de autoridade certificadora privada? É confiável?

Se você possui um certificado digital, já ouviu falar em Autoridade Certificadora, certo? Essa entidade é responsável pela emissão deste tipo de identificação eletrônica, que é muito utilizada em documentos.

Basicamente, o certificado faz a função do CPF ou do CNPJ, representando virtualmente a identidade de pessoas e empresas. 

Diante de sua importância no ambiente digital, é necessário ter rigor na hora de sua emissão. 

É neste contexto que aparece a autoridade de registro e autoridade certificadora, dentre outras entidades que explicamos a seguir.

Vamos lá? É só seguir a leitura conosco!

O que é uma Autoridade Certificadora?

Autoridade Certificadora (AC) é uma entidade pública ou privada pertencente à cadeia de confiança de certificação digital, cuja função é emitir, revogar e renovar certificados digitais. 

Na estrutura hierárquica da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), está acima das chamadas Autoridades de Registro (AR) e abaixo da Autoridade Certificadora Raiz (AC Raiz). 

Elas podem ser de primeiro ou segundo nível. 

A Receita Federal, por exemplo, é uma AC de 1º nível. Portanto, quando se fala de Autoridades Certificadoras habilitadas pela Receita Federal do Brasil, estamos abordando as AC de 2º nível.

Agora que você conheceu o conceito dessas entidades e onde elas estão na hierarquia da ICP-Brasil, que tal entender qual a finalidade das Autoridades Certificadoras (ACs)?

Quais são as responsabilidades de uma Autoridade Certificadora?

As funções da autoridade certificadora estão previstas no artigo 6º da Medida Provisória nº 2200-2/2001, que instituiu a ICP-Brasil e marcou o início do uso da certificação no país.

De acordo com a norma, as AC são entidades credenciadas a emitir certificados digitais por meio de vinculação de pares de chaves criptográficas ao respectivo titular. 

Mas as funções da AC vão além da emissão, e envolvem:

– Emitir, distribuir, renovar, revogar e gerenciar os certificados;

– Colocar à disposição dos usuários as listas de certificados revogados e outras informações pertinentes;

– Manter registro de suas operações, obedecendo às práticas da Declaração de Práticas de Certificação – DPC;

– Verificar se o titular do certificado possui a chave privada que corresponde à chave pública do certificado emitido;

– Estabelecer e fazer cumprir, pelas Autoridades de Registro a ela vinculadas, as políticas de segurança que garantem a autenticidade da identificação realizada.

Entendeu quais são as responsabilidades de uma AC? Vamos então conhecer essas entidades que atuam no Brasil.

Quais são as Autoridades Certificadoras no Brasil?

O site do Instituto Nacional de Tecnologia da Informação (ITI) apresenta a lista de Autoridades Certificadoras ICP-Brasil de 1º e 2º níveis, além das autoridades de registro.

Já são mais de 25 ACs de 1º nível. Dentre elas, estão a SERPRO (Serviço Federal de Processamento de Dados), a primeira AC credenciada pela ICP-Brasil, e a Receita Federal.

Lembra que mencionamos as autoridades certificadoras habilitadas pela Receita Federal do Brasil? Você pode conhecer todas elas no site.

Diante das inúmeras opções, será que existe uma AC mais importante?

Qual é a Autoridade Certificadora mais importante do Brasil?

A AC mais importante do Brasil é a AC Raiz, que existe desde a criação da ICP-Brasil. Ela está no topo da hierarquia da cadeia de certificação e é responsável por autorizar o funcionamento das demais entidades, descentralizando assim a emissão de certificados.

Conforme a Medida Provisória nº 2200-2, as funções da Autoridade Certificadora Raiz são:

– Gerenciar a lista de certificados emitidos, revogados e vencidos;

– Emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nível 1;

– Executar atividades de fiscalização e auditoria das AC e das AR e dos prestadores de serviço habilitados na ICP;

– Executar as Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil.

– Ela poderá ainda exercer outras atribuições que lhe forem cometidas pela autoridade gestora de políticas. Mas não é sua função emitir certificados para o usuário final, ok?

Diante de tantas entidades, com AC Raiz, Autoridade Certificadora ou de Registro, como saber sobre a confiabilidade delas?

Como saber se uma Autoridade Certificadora é confiável?

Você aprendeu qual a finalidade das Autoridades Certificadoras (ACs), certo? Emitir um certificado digital é criar uma forma de identificação em ambiente virtual do usuário.

Para que isso seja válido juridicamente, a autoridade deve implementar políticas e procedimentos de segurança que cumpram este objetivo. 

A melhor forma é seguir as diretrizes fixadas pela ICP-Brasil. Portanto, os certificados digitais emitidos por ACs da hierarquia possuem total validade jurídica.

Confira se as credenciais estão vigentes, pois podem ter sido revogadas ou estarem fora do prazo de validade. 

“E se eu me deparar com uma entidade não vinculada à ICP-Brasil, uma espécie de autoridade certificadora privada? É confiável?”

Uma entidade que emite seu próprio certificado pode ser confiável se seguir as diretrizes de segurança e estabelecer um uso específico para esse recurso. 

Basta que as partes envolvidas tenham confiança mútua, como no caso da validação interna de documentos nas empresas.

As Autoridades Certificadoras passam por algum tipo de fiscalização?

Cabe ao Comitê Gestor da ICP-Brasil (CG-ICP) estabelecer a política, os critérios e as normas para licenciamento de Autoridades Certificadoras (AC), Autoridades de Registro (AR) e demais prestadores de serviços de suporte em todos os níveis da cadeia de certificação.

Além disso, também é responsabilidade do CG homologar, auditar, fiscalizar e estabelecer a política de certificação, assim como as regras operacionais, da Autoridade Certificadora Raiz e de seus prestadores de serviço.

Autoridade de Registro e Autoridade Certificadora: quais as diferenças?

Até o momento, você já sabe bastante sobre a Autoridade Certificadora, o que é, quais as suas funções e sua posição na hierarquia.

Abaixo de uma AC de nível dois aparece a Autoridade de Registro, que faz a interface entre o usuário e a AC.

Portanto, há um vínculo direto entre a Autoridade de Registro e a Autoridade Certificadora. E o que faz uma AR? Veja:

– Mantém registros de suas operações;

– Identifica, cadastra e valida os usuários;

– Encaminha solicitações de emissão ou revogação de certificados digitais às ACs.

O que é uma Autoridade Certificadora privada?

A Autoridade Certificadora privada é aquela AC que não integra a hierarquia da ICP-Brasil e possui sua própria infraestrutura, o que envolve regras e boas práticas de uso do documento emitido.

Na prática, essa autoridade gera certificados apenas para seus próprios profissionais, fazendo com que eles tenham apenas validade interna.

Como funciona a cadeia de certificação digital?

A cadeia de certificação digital existe para conferir segurança jurídica aos certificados emitidos. 

Todas as entidades envolvidas devem seguir as mesmas normas, e essa padronização é fundamental para que o certificado tenha validade.

Por isso, existe uma hierarquia da ICP-Brasil entre as empresas e as entidades ICP-Brasil. 

Confira, a seguir, um breve resumo de tudo que abordamos até o momento para que você entenda a cadeia de certificação digital:

1 – AC Raiz: autoridade máxima na cadeia, possui o papel de elaborar e publicar as normas sobre a certificação digital, dentre outras funções.

2 – AC de primeiro nível: entidade que faz autenticação, emissão, revogação e gestão dos certificados das ACs de segundo nível.

3 – AC de segundo nível: realiza validação, emissão, revogação e gestão dos certificados solicitados pela Autoridade de Registro.

4 – Autoridade de Registro: responsável pelo atendimento ao usuário final. 

Mais uma vez, vale lembrar que a Autoridade Certificadora privada não integra a hierarquia da ICP-Brasil. 

E, caso queira a lista das Autoridades Certificadoras ICP-Brasil, basta consultar o site do ITI.

Fonte: TOTVS

A Autoridade Certificadora DigitalSign adota serviço Security Operations Center

Rússia cria sua própria Autoridade Certificadora

Prodesp torna-se Autoridade Certificadora

Cadastre-se para receber o IDNews

E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!