ITI emite nota sobre validação de SSL ICP-Brasil no Chrome e Firefox

O Instituto Nacional de Tecnologia da Informação – ITI, por meio de sua Coordenação-Geral de Normalização e Pesquisa – CGNP, ligada a Diretoria de Auditoria, Fiscalização e Normalização – DAFN, emitiu a Nota Técnica Nº 6 que traz esclarecimentos referentes a validação pelos navegadores Chrome e Firefox, em suas versões mais atuais, dos certificados digitais emitidos pela Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.

O documento busca esclarecer e apontar soluções para o relato de constantes alertas de segurança emitidos por tais navegadores quando acessadas páginas com conexão segura garantida pelo certificado ICP-Brasil.

A Nota Técnica aponta que recentes alterações realizadas nos sistemas dos navegadores, com o intuito de reforçar a segurança nas transações eletrônicas, são a causa do surgimento dos alertas de segurança que dificultam ou frustram o acesso de usuários às páginas de interesse.

Com o objetivo de solucionar a questão a CGNP orienta que as Autoridades Certificadoras – ACs da ICP-Brasil implementem a extensão Subject Alternative Name – SAN, com o tipo dNSName, para identificar nomes de domínio em certificados SSL/TLS, o que evitará os alertas de segurança nas versões atuais dos navegadores.

Conforme disposto no DOC-ICP-03, item 3.1, alínea “b”, há necessidade de submissão ao ITI das novas Políticas de Certificação – PCs pelas ACs, para aprovação de mudanças pela implementação da extensão SAN, com o tipo dNSName, que identifiquem nomes de domínios nos certificados SSL/TLS. Em nota, sugere-se ainda a submissão do assunto ao Comitê Gestor da ICP-Brasil.

Essa nota vem em resposta ao CONSELHO DA JUSTICA FEDERAL.  Em 22/05/2017, o representante da AC JUS, Sr. Paulo Martins Inocêncio, encaminhou correspondência eletrônica solicitando orientação do ITI sobre o problema na validação dos certificados digitais ICP-Brasil pelos navegadores Chrome e Firefox, em suas versões mais atuais.

INFORMAÇÕES

Nas conexões seguras (SSL/TLS), utiliza-se certificado digital, dentre outras funções, para permitir a validação dos nomes dos domínios ou endereço IP pelos aplicativos navegadores de internet.

Desta forma, navegadores tais como o Chrome da Google, verificam se esse certificado digital foi emitido para o nome de domínio ou IP que se tentou acessar, possibilitando mais segurança para o usuário.

De fato, desde 1997 havia duas formas de validar um nome de domínio, seja por meio do atributo “Common Name” no campo de identificação do titular ou por meio do uso da extensão de identificação de nome alternativo do titular (Subject Alternative Name-SAN).

Em 2000, na publicação da RFC2818 pela IETF, o uso de validação do nome de domínio pelo atributo “Common Name” já estava descontinuado devido a ambiguidade e desestruturação desse atributo, ao contrário da extensão SAN que permite a estruturação com o uso dos tipos dNSName ou IPAddress para identificação de domínio.

A RFC2818 define que se uma extensão SAN do tipo dNSName estiver presente, esta deverá ser utilizada como identidade, caso contrário, o “Common Name” do campo “Subject” deverá ser utilizado como identidade no processo de validação.

A RFC2818 também reconhece o uso do “Common Name” como uma prática comum, porém, estabelece que essa forma está descontinuada e as ACs deveriam se encorajar para utilizar o dNSName.

Ainda que a RFC2818 tenha descontinuado o uso do “Common Name“, na ausência de qualquer extensão SAN, os navegadores admitiam a validação do certificado digital com uso do “Common Name“.

A partir da versão 58 do Google Chrome, esse navegador passou a implementar mudanças para reforçar a segurança nas transações eletrônicas, dentre as quais, a remoção do suporte de validação do nome de domínio pelo “Common Name”, conforme orienta a RFC2818. Há indicações, porém, ainda não confirmada, de que o mesmo esteja ocorrendo com a versão mais recente do Mozilla Firefox.

Quando um certificado digital para SSL/TLS não implementa a extensão dNSName, o navegador Chrome em sua versão atual não consegue validar o nome de domínio, gerando uma tela de alerta de site não seguro (SEI nº 0005094), destacando em vermelho e demandando uma confirmação para acesso ao site declarado inseguro.

A maioria das AC no âmbito da ICP-Brasil não praticam o uso do dNSName na extensão SAN em seus certificados SSL/TLS, ocasionando falsos alertas de sites inseguros, quando do uso do referido navegador.

Muitos usuários desses navegadores ao receber a tela de alerta se assustam com a mensagem e deixam de acessar o serviço desejado.

A insegurança e o desconhecimento de alternativa dificultam a decisão do usuário levando-o à frustração do serviço desejado.

As normas da ICP-Brasil não restringem o uso do tipo dNSName, ou seja, as AC da ICP-Brasil podem implementar a extensão SAN do tipo dNSName nos certificados SSL/TLS que emitem. Para tanto, requer, antes da emissão de certificados digitais com a referida extensão, a aprovação, pelo ITI, e a publicação em seu repositório da alteração de suas Políticas de Certificado conforme dispostos no documento DOC-ICP-03, alínea “b” do item 3.1, em relação a alteração da PC, e documento DOC-ICP-04, item 7.1.2.6, em relação a admissibilidade de outros campos na extensão SAN.

ANÁLISE

A RFC2818 é muito clara em orientar as AC a implementarem o uso do dNSName para certificados digitais SSL/TLS.

Devido a existência de aplicações anteriores à RFC2818, admitia-se a validação com uso do “Common Name“, tornando uma prática comum que vinha perdurando por quase duas décadas.

Da parte regulatória, não há necessidade de alteração visto que as normas da ICP-Brasil admitem a implementação do tipo dNSName na extensão SAN, conforme disposto no documento DOC-ICP-04, item 7.1.2.6.

DOCUMENTOS RELACIONADOS

Correspondência eletrônica (e-mail) da AC JUS enviada pelo Sr. Paulo Martins Inocêncio, assunto: Subject Alternative Name (SEI nº 0005090).

Tela de alerta de site não seguro (SEI nº 0005094).

CONCLUSÃO

Embora não prescinda de imediata mudança normativa para solução do problema relatado de validação dos certificados digitais ICP-Brasil pelos navegadores Chrome e Firefox, em suas versões mais atuais, sugere-se a submissão do assunto ao Comitê Gestor da ICP-Brasil para regulamentação da obrigatoriedade do campo Subject Alternative Name (SAN) com o tipo dNSName, nos certificados SSL/TLS, em conformidade com a RFC2818.

Enquanto isso, entende-se que o ITI deva orientar, por meio desse documento, as AC da ICP-Brasil a implementar a extensão Subject Alternative Name (SAN) com o tipo dNSName para identificar nomes de domínio em certificados SSL/TLS e minimizar os problemas de validação relatado pela AC JUS.

Para tanto, conforme disposto no DOC-ICP-03, item 3.1, alínea “b”, há necessidade de submissão ao ITI das novas Políticas de Certificado (PC) pelas AC, para aprovação de mudanças pela implementação da extensão

Subject Alternative Name (SAN) com o tipo dNSName que identifiquem nomes de domínios nos certificados SSL/TLS.

Fonte: ITI

Confira a documento na íntegra: Nota Técnica nº 6/2017/CGNP/DAFN