Geral
Certificação Digital
Procedimento no portal Serpro é implantado em junho
O Portal Serpro teve seu certificado atualizado no início de junho e, desde então, alguns usuários recebem um alerta de segurança em seu navegador, afirmando que a conexão não é confiável. Para eliminar o alerta e retomar a navegação segura no portal da empresa, o internauta deve instalar a nova cadeia da ICP-Brasil. O procedimento é simples. Basta acessar o endereço www.iti.gov.br/icp-brasil/navegadores e seguir as instruções para a instalação conforme o navegador que estiver utilizando.
Entenda o que acontece
"Esse alerta de segurança surge porque as estações de trabalho dos usuários não possuem, instalado em seus repositórios, o certificado da Autoridade Certificadora Raiz que assinou o certificado do portal. Este problema ficou evidente na criação do certificado da AC-Raiz v5, emitido em 2 de março de 2016, pela ICP-Brasil, pois este certificado não foi incluído nativamente nos repositórios dos principais navegadores", explica Pedro Motta, gerente de Certificação Digital do Serpro.
De acordo com Pedro, o certificado AC-Raiz v2, com validade até 21 de junho de 2023, vem instalado nativamente no navegador da Microsoft e, por este motivo, os usuários que utilizam o Google Chrome e Internet Explorer em estações Windows navegam sem receber as mensagens de alerta de segurança. Já o certificado da AC-Raiz v5 tem validade até o ano de 2029 e, uma vez instalado nas estações de trabalho, os portais visitados que possuem certificados assinados nesta cadeia de certificados não apresentarão mais estes alertas de segurança.
As Autoridades Certificadoras do Serpro são vinculadas à infraestrutura de Chaves Públicas Brasileiras (ICP-Brasil), administrada pelo Instituto Nacional de Tecnologia da Informação (ITI), seguindo o Decreto n° 3.996 de 31 de outubro de 2001, que dispõe sobre o uso de certificados no âmbito do Governo Federal.
Não ignore o alerta de segurança
Todos os sites que contam com uma camada adicional de segurança sobre o protocolo HTTP, o chamado HTTPS, possuem um certificado digital que permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente. Quando o navegador não reconhece a validade deste certificado, ele envia uma mensagem de segurança – ignorá-la ou adicionar uma exceção de segurança pode deixar a navegação vulnerável.
"O que gostaríamos de alertar aos usuários é que eles não devem ignorar os alertas do tipo 'esta conexão não é confiável' ou 'o certificado de segurança do site não é confiável'. Para ter certeza que está navegando em um ambiente seguro, deve-se instalar no seu navegador os certificados das Autoridades Certificadoras que assinaram o certificado da página", orienta o gerente.
Acordos em vista
Ainda segundo Pedro Motta, a ICP-Brasil e o Serpro vêm somando esforços para incluir os certificados da sua infraestrutura nativamente nos navegadores. No momento, o certificado da AC-Raiz v5 vem passando por avaliação da Microsoft para ser incluído nativamente em seu repositório.
O Serpro montou um grupo de trabalho para estudar a inclusão dos certificados da empresa nos navegadores Mozilla Firefox. O grupo deve apresentar uma solução até dezembro deste ano. A empresa também vem trabalhando junto ao ITI para autorizar a criação de uma Autoridade Certificadora para emissão de certificados SSL, vinculada à AC-Raiz v2. Este certificado tem validade até junho de 2023 e já vem nativo nos repositórios da Microsoft.