Re: certificados ICP BRASIL
2010/10/18 Allison Vollmann escreveu:
>
> Esse procedimento precisa ser feito em qualquer sistema operacional (não é um caso específico do debian, ocorre com o windows também), não é um caso de convênio e sim de falta de assinatura de um certificado raiz considerado confiável globalmente, o ICP Brasil fornece a cadeia de certificados e devem ser "confiados" para quem quiser consumir os serviços de escrituração fiscal eletrônica (NFe, CTe, SPED), então basta "confiar" nos certificados raiz fornecidos por ele de acordo com sistema utilizado.
>
> Não creio que haverá um "convênio" ou então pegarão uma assinatura de uma AC Raiz (como a VeriSign, neste caso o ICP se tornaria uma AC intermediária).
>
> É a mesma coisa caso a sua empresa pretenda disponibilizar um serviço restrito a seus clientes e criasse uma autoridade certificadora e emitisse uma chave para cada cliente e exigisse autenticação de chave privada, pois se fosse feito através de outra entidade poderia ter um custo elevado (para cada chave) quando não seria necessário visto que o serviço é restrito e a confiança de troca de chaves se deve na hierarquia do certificado raiz de sua empresa iria fornecer.
>
Allison, eu entendo o sistema de autenticação via certificados. A
questão que estou levantando é que o pacote ca-certificates serve para
isso. Quando alguém instala o pacote ca-certificates, passa a confiar
em diversos certificados reconhecidos por aí, incluindo os do projeto
Debian e, suspostamente, os do governo brasileiro. Eu fiz uma imagem
[1] mostrando que ele instala alguns certificados do ICP-Brasil. O
objetivo é livrar o usuário leigo de ter que passar pelo processo de
configuração de confiança para determinados certificados. Alguém me
corrija se eu estiver errado nisso.
Acontece que mesmo com o pacote instalado, meus navegadores não
confiam nos certificados do governo (os que precisei esses dias). O
problema não é como corrigir isso manualmente, mas como está a
distribuição Debian nessa questão (estou usando testing). No meu
entender o ca-certificates, deve estar usando certificados antigos do
ICP Brasil, ou então está instalando uma quantidade insuficiente
desses certificados ou é o próprio governo usando certificados
inapropriados em seus sites. Não sei avaliar isso direito. Existem
muitos certificados do ICP Brasil, e não fica claro (pelo menos para
mim) qual a finalidade/utilidade de cada um. Com a aproximação de uma
nova versão estável do Debian, seria muito interessante que o
ca-certificates fosse atualizado/melhorado/corrigido (sei lá),
livrando os usuários brasileiros da configuração manual para
certificados do ICP Brasil, pois no meu entender, *o pacote se propõe
a isso*.
No meu caso em particular, o certificado
http://acraiz.icpbrasil.gov.br/ICP-Brasilv3.crt não foi instalado pois
já existia no sistema (acredito que fornecido pelo ca-certificates),
enquanto que o http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt foi
instalado sem problemas e fez o iceweasel passar a confiar no
certificado usado nas páginas que eu preciso. Espero ter respondindo o
Messias Alves com isso.
As perguntas que surgiram no processo são:
1) Por que o certificado em
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt não é fornecido pelo
ca-certificates?
2) Será que outras páginas do governo precisam de certificados
diferentes também não fornecidos pelo ca-certificates?
3) Por que em todos os certificados ICP Brasil, a opção "this
certificate can identify web sites" [1] fornecidos pelo
ca-certificates estava desmarcada?
[1] http://img215.imageshack.us/img215/9678/icpbrasil.png
--
Bruno Schneider
http://www.dcc.ufla.br/~bruno/
Reply to: