O fim dos certificados SSL inválidos nos sites do governo brasileiro
26 de setembro de 2018É o que garante as novas cadeias v8 e v9 da AC Raiz
Um dos fatores mais relevantes que impediam, até o momento, os navegadores reconhecerem como válidos nossos certificados SSL e de Assinatura de Código emitidos abaixo da ICP-Brasil era a falta do parecer da WebTrust acompanhado por seu selo de certificação.
A Webtrust é uma empresa de auditoria especializada em Autoridades Certificadoras intencionais. A falta de interoperabilidade entre os certificados SSL e de Assinatura de Código com os navegadores era um problema que se arrastava e agonizava desde a criação da ICP-Brasil em 2001.
Na qualidade de Autoridade Certificadora Raiz da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, o Instituto Nacional de Tecnologia da Informação – ITI emitiu certificados digitais nas novas cadeias v8 e v9.
O procedimento foi concluído na tarde desta terça-feira, 25 de setembro de 2018 e contou com a presença da auditoria da Ernst & Young.
Sob a cadeia v8 serão emitidos certificados digitais SSL – Secure Sockets Layer enquanto que a v9 servirá para os certificados digitais Code Signing.
Os novos certificados já estão disponíveis neste link.Desta forma, o ITI cumpre as exigências para que as demais Autoridades Certificadoras – ACs possam, no âmbito de seus processos de auditoria WebTrust, solicitar a emissão dos certificados nestas cadeias e assim cumprir as regras da Resolução nº 119, de 6 de julho de 2017.
Para Gastão Ramos, diretor-presidente do ITI, “A ICP-Brasil, como um criptossistema que possui referência mundial e, portanto, não pode descurar das regras internacionais, avança, mais uma vez, na integração dos seus certificados nos sistemas operacionais, navegadores e aplicações. As emissões, pela AC Raiz, das cadeias V8 (SSL) e V9 (Code Signing) já estão sob os princípios e critérios da auditoria WebTrust (selo WebTrust for CAs, além dos SSL Baseline with Network Security e Publicly Trusted Code Signing Certificates). Isso permitirá que as demais Autoridades Certificadoras tenham totais condições de também obterem seus selos WebTrust para esses propósitos e, então, começarem a emitir esses tipos de certificados. É um marco para o Brasil a coesão do seu sistema nacional de certificados com os regulamentos internacionais vigentes, melhorando a usabilidade e a segurança das comunicações digitais no país.”
Segundo a norma, a AC Raiz e as Autoridades Certificadoras devem realizar procedimentos de auditoria anteriores à emissão de qualquer certificado, com emissão de relatórios denominados point-in-time.
Também são obrigatórios novos certificados para a AC Raiz e demais ACs destinados a cadeias de emissão de certificados SSL e de assinatura de código.
A medida vai ao encontro do objetivo do ITI de que toda a cadeia da ICP-Brasil receba o selo Webtrust que garante a conformidade com requisitos internacionais de raízes confiáveis para manutenção e uso dos certificados nos mais diversos repositórios.
Além de acabar com o problema da interoperabilidade dos certificados SSL da ICP-Brasil, isso abrirá um mercado promissor para as ACs em relação aos certificados SSL e de Assinatura de Código porque o mercado privado poderá utiliza-los da mesma forma que utiliza os certificados de ACs de raiz internacional.
Leia também….
ITI fala ao Crypto ID sobre SSL da cadeia ICP-Brasil
Certificados SSL dos sites de governo serão atualizados
ENTREVISTA – Gastão Ramos responde sobre interoperabilidade do SSL ICP-Brasil
ITI emite nota sobre validação de SSL ICP-Brasil no Chrome e Firefox
Acesse O maior conteúdo brasileiro sobre os Certificados Digitais SSL e TLS – Transport Layer Security