A INTEROPERABILIDADE ENTRE OS NAVEGADORES E SSL ICP-BRASIL ESTÁ PRÓXIMO DE ACONTECER
Entenda a questão da falta de interoperabilidades entre os nossos certificados ICP-Brasil CodeSign e SSL com os navegadores de mercado e o que está sendo feito para que isso, finalmente, seja possível
Durante a reunião Ordinária do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-BR realizada dia 7 de novembro, quarta-feira, na sede do ITI, em Brasília, foram discutidas as questões relacionadas aos requisitos adicionais para aderência aos programas de raízes confiáveis no quinto e no sexto itens da pauta.
Os dois itens tratam de adequações técnicas e normativas que deverão ser feitas para que os certificados digitais da cadeia ICP-Brasil sejam reconhecidos automaticamente pelos principais navegadores da internet, acabando com as mensagens de erro apresentadas em diversos sites. Gastão Ramos diretor-presidente do ITI alertou para necessidade de celeridade na aprovação e implantação dessas propostas.
O problema apresentado nos navegadores vem se arrastando por muito tempo dentro da ICP-Brasil e tem impacto real no uso do certificado digital, temos que trabalhar de forma rápida para superar essa questão”, diz Gastão Ramos
Requisitos adicionais para aderência aos programas de raízes confiáveis dos fornecedores de navegador de internet
O diretor de Infraestrutura de Chaves Públicas do ITI, Waldeck Araujo Junior, expos, resumidamente, as propostas para regulamentação dos requisitos específicos para conformidade das Autoridades Certificadoras da ICP-Brasil ao Programa WebTrust e, em seguida, a necessidade de revogação dos certificados da AC Raiz nas cadeias V8 e V9 e emissão das cadeias V10 e V11.
Araujo também anunciou que o ITI se associará a CA/Browser Forum para poder participar das definições de padrões como as demais Autoridades Certificadoras internacionais.
Conformidade com as regulamentações do CA/Browser Forum
Trata-se dos certificados digitais SSL – Secure Socket Layer | TLS – Transport Layer Security e certificados de assinatura de código emitidos na hierarquia da ICP-Brasil.
Atualmente todos os certificados SSL/TLS e CodeSign emitidos na hierarquia da ICP-Brasil não são reconhecidos pela maioria dos navegadores, desta forma, todos os sites protegidos com a criptografia brasileira são sinalizados para seus visitantes como inseguros. Estamos falando de sites como os do Governo Federal, Caixa Econômica Federal, Receita Federal do Brasil, do próprio ITI, entre outros sites do Governo Federal que são obrigados a utilizar o SSL emitido na hierarquia brasileira.
Sites com SSL ICP-Brasil são sinalizados como inseguros
Uma AC para incluir sua Raiz num repositório de confiança e, consequentemente, ser reconhecida como confiável pelos browsers, precisa ser auditada por uma empresa internacional – WebTrust que atesta que a AC está em conformidade com os requisitos técnicos, operacionais e normativos segundo o CA/Browser Forum.
CA/Browser Forum é um grupo voluntário de Autoridades Certificadoras (CAs), fornecedores de software de navegação na Internet e de outros aplicativos que usam certificados digitais X.509 v.3 para SSL / TLS e Assinatura de Código. Nesse fórum são definidos padrões técnicos e normativos para que os certificados SSL/TLS sejam reconhecidos pelos navegadores e softwares de mercado.
A WebTrust é uma organização criada pela Canadian Institute of Chartered Accountants – CICA e American Institute of Certified Public Accountants – AICPA que tem como objetivo fornecer aos consumidores finais a garantia de serviços confiáveis.
A WebTrust tem atuação internacional e mantém um programa em que são definidas as melhores práticas de segurança nos negócios das Autoridades Certificadoras desenvolvido em conjunto com outras entidades como a ETSI (European Telecommunications Standards Institute), que atua na Europa.
Uma vez que a AC Raiz da ICP-Brasil seja incluída nos repositórios confiáveis, todas as Autoridades Certificadoras subordinadas a hierarquia brasileira também poderão obter o selo de WebTrust para fazer parte da cadeia global de confiança. Enquanto a AC Raiz não receber o selo, as Autoridades Certificadoras subordinadas não podem iniciar seus processos de obtenção do selo WebTrust .
Documentação dos procedimentos das Autoridades Certificadoras
Toda Infraestrutura de Chaves Públicas (Hierarquia de Certificação Digital) documenta sua PC – Política de Certificação, que descreve os requisitos, procedimentos e nível de segurança adotados para a emissão, revogação e gerenciamento do ciclo de vida de um Certificado Digital.
Da mesma forma, precisam documentar e tornar pública a Declaração de Práticas de Certificação – DPCque é o documento, periodicamente revisado e republicado, que descreve as práticas e os procedimentos empregados pela Autoridade Certificadora na execução de seus serviços. É a declaração a respeito dos detalhes do sistema de credenciamento, as práticas, atividades e políticas que fundamentam a emissão de certificados e outros serviços relacionados. É utilizado pelas Autoridades Certificadoras para garantir a emissão correta dos certificados e pelos solicitantes e partes confiantes para avaliar a adequação dos padrões de segurança empregados às necessidades de segurança de suas aplicações.
Entrevista com Gastão Ramos, Diretor presidente do ITI
Dr. Gastão Ramos, logo após sua posse ao cargo de Diretor-presidente do ITI, concedeu uma entrevista ao Crypto ID e nela o questionamos sobre a falta de interoperabilidade entre os navegadores e os certificados SSL e, desde seu primeiro mês de gestão, esse assunto já estava em seu radar. Hoje voltamos a falar com ele sobre o tema para colher mais detalhes.
Entrevista com Gastão Ramos, diretor-presidente do ITI – Gastão Ramos responde sobre interoperabilidade do SSL ICP-Brasil, Comitê Gestor ICP Brasil, PLS 146/2007 e os impactos da rede Blockchain na ICP-Brasil. Essa entrevista foi realizada em 27 de junho de 2017
Crypto ID: Presidente, entendemos a importância da obtenção do selo WebTrust para a ICP-Brasil e também da celeridade para conclusão da auditoria. Para isso, quais são as ações mais estratégicas a serem tomadas?
Gastão Ramos: É importante mencionar que existem diferentes tipos de selos WebTrust. O selo WebTrust for CAs, na qual a AC Raíz adquiriu ano passado e está em processo de renovação/manutenção, algumas pequenas ações foram necessárias principalmente no sentido de corrigir os parâmetros dos certificados emitidos na cadeia. Essas ações foram realizadas. Os selos para SSL baseline e EV, assim como os selos referentes a CodeSign, exigem da AC Raíz outras ações, que já estão sendo providenciadas. As mais importantes são: i. a alteração da formatação e conteúdo dos DOC-ICP para a RFC 3647 e; ii. os critérios de homologação dos nossos HSM.
Crypto ID: Um dos requisitos técnicos que deverá ser adequado aos padrões CA/Browser Forum está relacionado ao protocolo S/MIME (Secure/Multipurpose Internet Mail Extensions). Falando de forma simplificada, o que isso significa, qual é o impacto dessa alteração para a ICP-Brasil e qual o esforço para que isso seja feito?
Gastão Ramos: Para o tipo S/MIME basta a obtenção, no caso da AC Raíz manutenção, do selo WebTrust for CAs. É importante salientar que esse selo é obrigatório para todas as ACs da ICP-Brasil, portanto, exige a contratação por parte das ACs desse tipo de auditoria e, se for o caso, as adequações necessárias para a obtenção do mesmo. Entretanto, os ganhos com esse processo, como é sabido, são enormes.
Crypto ID: A geração das chaves nas novas cadeias V10 e V11, que emitirão respectivamente os Certificados Digitais SSL e CodeSign resolvem essa questão?
Gastão Ramos: Pedimos autorização ao Comitê Gestor da ICP-Brasil para já nos adequarmos aos critérios e princípios emanados dos documentos WebTrust e do CA/B Forum. Todos os critérios serão atendidos.
Crypto ID: Existem outras adequações técnicas a serem feitas?
Gastão Ramos: Em relação aos selos WebTrust SSL Baseline e EV, assim como aos WebTrust CodeSign, existem algumas mudanças. Nossos técnicos já realizaram uma reunião com todas as ACs interessadas e passaram os pontos que deverão ser mudados, não só nas Autoridades Certificadoras, mas também no conteúdo desses certificados, forma de emissão, entre outros. Claro que continuamos à disposição das nossas ACs para tirarem dúvidas sobre todas essas mudanças.
Crypto ID: Em relação aos procedimentos de validação das credenciais dos titulares dos Certificados Digitais existem alguns conflitos a serem superados sendo, a nosso ver, o mais impactante o fato de que as verificações segundo o CA/Browser Forum não exigem o comparecimento presencial dos titulares junto à Autoridade de Registro enquanto na ICP-Brasil isso é exigido. Como o CG ICP-BR se posiciona em relação a essa questão?
Gastão Ramos: Não há conflitos entre normas, mas só adequações. A segurança do processo de emissão e do ciclo de vida das chaves criptográficas emitidas por uma AC da ICP-Brasil permanecem as mesmas, ou seja, seguem os mais altos padrões de segurança.
Quanto a emissão presencial, tudo permanece como sempre foi, até porque essa é uma exigência legal. Todo requerente de um certificado digital na ICP-Brasil deve ir presencialmente em uma Autoridade de Registro para os processos de emissão.
Crypto ID: Por outro lado, existem uma série de requisitos normativos e operacionais praticados pelos associados ao CA/Browser Forum que não são contempladas no plano de verificação da ICP-Brasil. Quais são as mais impactantes na visão do CG ICP-BR?
Gastão Ramos: Como mencionado, existem adequações a serem feitas em relação àquelas entidades que desejam emitir os Certificados SSL Baseline e EV, assim como CodeSign. Além das mencionadas, é necessário uma adequação em alguns critérios e parâmetros de emissão e nos campos dos certificados. Podemos, por exemplo, destacar a exigência do campo de endereço físico da empresa que requerer um certificado SSL do tipo EV e que essa tenha no mínimo 3 anos de existência. Existem outros detalhes que devem ser observados. Nossa cadeia está ciente dos mesmos.
Crypto ID: No entanto, considerando que as maiores Autoridades Certificadoras privadas da cadeia da ICP-Brasil já validam e emitem certificados SSL e Codesign de cadeias internacionais e por isso possuem conhecimento operacional e estrutura para absorver todas as alterações que estão por vir, qual poderia ser o maior impacto para a substituição dos procedimentos?
Gastão Ramos: O impacto será na contratação das auditorias, critérios de homologação dos HSM (que devem ter, além da homologação da ICP-Brasil, cumprir os critérios FIPS ou CC), mudanças na formatação das DPCs e algumas mudanças nas aplicações de emissão do certificado. Todas as ACs já estão cientes desses e outros processos.
Crypto ID: Quantos Certificados Digitais SSL e CodeSign da cadeia ICP-Brasil estão válidos atualmente?
Gastão Ramos: Até o momento, temos 18 Certificados CodeSign e 3.968 Certificados Digitais SSL
Crypto ID: Você acredita que esse mercado será ampliado em quanto uma vez que a adequação às normas do CA/Browser Forum simplificará o processo de aquisição e, portanto, não estará mais restrito às empresas públicas federais, que por força da lei só podem utilizar a criptografia da cadeia Brasileira?
Gastão Ramos: O mais importante para o ITI, antes de pensar no mercado, é atender a sociedade. Estamos caminhando a passos largos para resolver o problema da tela de “site não seguro” que aprece nos navegadores dos usuários, quando esses entram em sites HTTPS assinados com ICP-Brasil. É importante ressaltar que as principais regras para emissão de um certificado, seja de que tipo for, se manterão. É claro que resolvendo esse imbróglio nos navegadores, existe uma tendência de aumento na emissão desse tipo de certificado. Certamente todos saem ganhando nesse processo.
Crypto ID: Para a adequação normativa serão necessárias atualizações de alguns documentos como o DOC ICP 01.02, além da PC e DPC da AC Raiz das duas novas cadeias. Quais serão os principais itens que sofrerão alterações?
Gastão Ramos: Conforme mencionei, teremos que produzir uma nova formatação dos nossos DOC-ICP para a RFC 3647. A mudança, em que pese não retire nenhum instrumento de segurança e protocolos criados, muda a formatação da maioria dos itens desses documentos.
Crypto ID: A expectativa para a finalização da auditoria da WebTrust é março de 2019 conforme anunciado na reunião do dia 7 de novembro. Está prevista para o CG ICP-BR uma força tarefa para que a meta seja atingida? E porque é importante que essa conclusão ocorra até esse período?
Gastão Ramos: Esse é o período de contratação da auditoria e quando pretendemos ter o relatório Ponting Time. É o prazo que consentimos, em consonância com nosso Comitê Gestor, para que tudo esteja preparado e possamos, a partir de então, emitirmos um certificado para as ACs subsequentes interessadas na comercialização de certificados SSL e CodeSign.
Crypto ID: Qual seria suas palavras para finalizar a entrevista?
Gastão Ramos: 2018 foi um ano de muitas conquistas para o Instituto Nacional de Tecnologia da Informação – ITI e para Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.
A continuidade dos processos de modernização da Infraestrutura e de atualização dos normativos possibilitou avanços como a renovação do parque tecnológico do Instituto, a adoção do sistema biométrico, a criação do Cadastro de Agentes de Registro – CAR, a definição de algoritmos baseados em curvas elípticas para atender demandas do INMETRO e do TSE e o credenciamento dos primeiros Prestadores de Serviço de Confiança – PSC da ICP-Brasil.
Todos os trabalhos realizados para atingir tais conquistas seguiram os mais rigorosos padrões internacionais, de forma que a AC Raiz da ICP-Brasil recebeu, pelo segundo ano consecutivo, o relatório de auditoria independente em conformidade, garantindo a obtenção do selo Webtrust.
A excelência dos trabalhos realizados pelo ITI deve-se à dedicação de toda a equipe da Autarquia, que apesar de pequena, é comprometida e tecnicamente muito competente.
A melhoria em nossos processos teve reflexo direto no mercado, é notório o aumento no número de certificado digitais emitidos no País. Entre 2017 e 2018, por exemplo, houve crescimento de mais de 26% no número de certificados ativos. Até outubro deste ano, foram emitidos 3.779.564 certificados, contra 1.919.130 no mesmo período de 2017. Embora tenhamos números expressivos, a emissão de certificados digitais ICP-Brasil ainda é tímida diante das enormes oportunidades do mercado, para 2019 as expectativas são de continuidade no crescimento e consolidação da certificação digital.
O aumento na procura por certificados também impulsiona o desenvolvimento da capilaridade da ICP-Brasil. Em 2018 foram credenciadas 455 Autoridades de Registro – ARs, contra 129 em 2017, o número de ARs mais que triplicou no período. Aumentar a capilaridade da ICP-Brasil significa tornar o acesso ao certificado mais fácil e democrático. Além disso, o crescimento da Infraestrutura gera novos postos de trabalho em todo País, fortalecendo a economia brasileira.
Fonte: CryptoID