2010/10/18 Allison Vollmann escreveu: > > Esse procedimento precisa ser feito em qualquer sistema operacional (não é um > caso específico do debian, ocorre com o windows também), não é um caso de > convênio e sim de falta de assinatura de um certificado raiz considerado > confiável globalmente, o ICP Brasil fornece a cadeia de certificados e devem > ser "confiados" para quem quiser consumir os serviços de escrituração fiscal > eletrônica (NFe, CTe, SPED), então basta "confiar" nos certificados raiz > fornecidos por ele de acordo com sistema utilizado. > > Não creio que haverá um "convênio" ou então pegarão uma assinatura de uma AC > Raiz (como a VeriSign, neste caso o ICP se tornaria uma AC intermediária). > > É a mesma coisa caso a sua empresa pretenda disponibilizar um serviço > restrito a seus clientes e criasse uma autoridade certificadora e emitisse > uma chave para cada cliente e exigisse autenticação de chave privada, pois se > fosse feito através de outra entidade poderia ter um custo elevado (para cada > chave) quando não seria necessário visto que o serviço é restrito e a > confiança de troca de chaves se deve na hierarquia do certificado raiz de sua > empresa iria fornecer. >
Allison, eu entendo o sistema de autenticação via certificados. A questão que estou levantando é que o pacote ca-certificates serve para isso. Quando alguém instala o pacote ca-certificates, passa a confiar em diversos certificados reconhecidos por aí, incluindo os do projeto Debian e, suspostamente, os do governo brasileiro. Eu fiz uma imagem [1] mostrando que ele instala alguns certificados do ICP-Brasil. O objetivo é livrar o usuário leigo de ter que passar pelo processo de configuração de confiança para determinados certificados. Alguém me corrija se eu estiver errado nisso. Acontece que mesmo com o pacote instalado, meus navegadores não confiam nos certificados do governo (os que precisei esses dias). O problema não é como corrigir isso manualmente, mas como está a distribuição Debian nessa questão (estou usando testing). No meu entender o ca-certificates, deve estar usando certificados antigos do ICP Brasil, ou então está instalando uma quantidade insuficiente desses certificados ou é o próprio governo usando certificados inapropriados em seus sites. Não sei avaliar isso direito. Existem muitos certificados do ICP Brasil, e não fica claro (pelo menos para mim) qual a finalidade/utilidade de cada um. Com a aproximação de uma nova versão estável do Debian, seria muito interessante que o ca-certificates fosse atualizado/melhorado/corrigido (sei lá), livrando os usuários brasileiros da configuração manual para certificados do ICP Brasil, pois no meu entender, *o pacote se propõe a isso*. No meu caso em particular, o certificado http://acraiz.icpbrasil.gov.br/ICP-Brasilv3.crt não foi instalado pois já existia no sistema (acredito que fornecido pelo ca-certificates), enquanto que o http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt foi instalado sem problemas e fez o iceweasel passar a confiar no certificado usado nas páginas que eu preciso. Espero ter respondindo o Messias Alves com isso. As perguntas que surgiram no processo são: 1) Por que o certificado em http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt não é fornecido pelo ca-certificates? 2) Será que outras páginas do governo precisam de certificados diferentes também não fornecidos pelo ca-certificates? 3) Por que em todos os certificados ICP Brasil, a opção "this certificate can identify web sites" [1] fornecidos pelo ca-certificates estava desmarcada? [1] http://img215.imageshack.us/img215/9678/icpbrasil.png -- Bruno Schneider http://www.dcc.ufla.br/~bruno/ -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
