Regina Tupinambá Autora do Blog certificação Digital |
Ontem quando li no twitter a notícia – @SERPRO: Uso de e-mail seguro torna-se obrigatório em todo o Governo Federal: http://t.co/gj5i4AK0l5” eu estava no táxi acessando a rede pelo meu celular.
Ao clicar no link veio a mensagem de que eu estava acessando uma página insegura.
Isso é incrível! Esse aviso é exibido aos visitantes que acessam sites protegidos pelos certificados digitais SSL da cadeia ICP Brasil, entre eles, os sites do Governo Federal.
Isso acontece quando os visitantes não têm instada a cadeia de certificação digital dessa hierarquia.
É claro que nas máquinas que eu acesso possuem todas as cadeias instaladas da ICP Brasil, o que não é o usual para 90% dos brasileiros.
Muito simplificadamente, vou explicar por que as cadeias da ICP Brasil não são reconhecidas pela maioria dos navegadores.
É um dos requisito de praxe entre as empresas internacionais de software reconhecerem apenas as cadeias de Autoridades Certificadora que são auditadas por empresas internacionais de renome, entre elas posso citar a Webtrust. O governo brasileiro até agora não tinha contratado esse tipo de auditoria internacional por vários fatores inerentes à política interna que não vem ao caso. Outros países também adotam essa mesma política e por conseguinte também não têm suas raízes instaladas nos softwares e navegadores. Recentemente parece que o ITI – Instituo Nacional da tecnologia da Informação, reviu essa política e contratou uma auditoria internacional. Então, esse problema pode ser resolvido, mas não tenho conhecimento desse prazo.
Não ter a raiz (root) instalada nos navegadores significa que o certificado digital SSL que protege o site não é reconhecido e então os visitantes são automaticamente alertados de que o site não é seguro.
Isso para o site de qualquer empresa é ruim, mas para os sites do governo federal é péssimo!
O que fazer?
Primeiro contratar a auditoria internacional e agilizar a instalação da Raiz ICP Brasil nos principais navegadores. Mesmo porque, não existe segredos nos procedimentos de uma Autoridade Certificadora, todos os seus processos estão descritos em detalhes, em sua DPC – Declaração de Práticas de Certificação. Leia O que é DPC
Outra providência imediata seria disponibilizar aos usuários brasileiros a instalação das cadeias da ICP Brasil de forma automática. Como? Com uma campanha de divulgação em massa na própria internet, principalmente nos sites do governo. Muito simples e que requer pouco investimento.
No mínimo, o site deveria exibir uma explicação sobre esse aviso e oferecer a instalação das cadeias.
Se você não tem as cadeias da ICP Brasil instaladas em sua máquina acesse o link a seguir e faça a instalação. Atualização de Navegadores e Visualizadores de Arquivos.
O que eu não entendo é como os gestores dos sites que utilizam os certificados SSL ICP Brasil não tomam nenhuma providência a respeito. Criam um desconforto e deixam aos visitantes totalmente desinformados e inseguros.
Particularmente sou fã número um dos certificados SSL ICP BRASIL. Quem convive comigo sabe disso. Acho que todos os sites que se dirigem a população brasileira sejam para o e-commerce, comunicação, institucional, deveriam ter um certificado digital SSL ICP Brasil instalado e exibir um selo de site verificado por uma autoridade certificadora da hierarquia da ICP Brasil, consequentemente, auditada pelo governo Brasileiro. Pelos menos todos os domínios ponto BR deveriam ter um certificado digital SSL ICP Brasil.
Claro que os sites que não queriam aderir à essas normas migrarão para domínios de outros países, mas ai caberá à própria população administrar os riscos de acessar sites falsos ou que não têm por trás empresários sérios.
Defendo essa ideia por que dessa forma o governo proveria mais transparência à população ao sinalizar sites confiáveis. Sinto-me muito a vontade para falar isso nesse momento por que não trabalho mais em uma Autoridade Certificadora, portanto, não defendo nenhum interesse comercial e sim no que acredito ser o adequado em benefício de uma internet mais segura, confiável e transparente.
Regina Tupinambá
Acompanhe o que estão falando os especialistas sobre isso no grupo certificação Digital no Linkedin
Acompanhe o que estão falando os especialistas sobre isso no grupo certificação Digital no Linkedin
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.