Com o enfraquecimento de alguns algoritmos, a ICP-Brasil, seguindo uma tendência mundial, adotou em 2009 um plano de migração e atualização dos padrões criptográficos, fundamental para que a Infraestrutura passasse por uma mudança gradual. Dessa forma, desde 31 de dezembro de 2011 não se emite mais certificados na cadeia V1 para usuário final.
Como na época, o certificado digital para usuário tinha validade máxima de 3 anos, o emitido no último dia de 2011, quando ainda era permitido, teria sua validade até o último dia de 2014. Ou seja, até o final deste ano não devemos ter mais nenhum certificado válido na cadeia V1 para usuário final. Já os certificados de ACs ainda estarão válidos. Eles se mantêm até o certificado da AC-Raiz expirar, o que acontecerá em 29 de julho de 2021. Significa dizer que até lá a AC-Raiz e as AC’s continuarão emitindo e assinando Listas de Certificados Revogados – LCRs na cadeia V1.
Com a expiração da cadeia V1, também serão expiradas algumas políticas de assinatura?
As assinaturas com certificados digitais ICP-Brasil são baseadas em Políticas de Assinatura. Atualmente, são cinco políticas para cada perfil de assinatura – CAdES e XAdES. Essas políticas têm como regras a obrigatoriedade da associação da política com uma cadeia de confiança. Sendo assim, a versão 1 das políticas de assinatura está associada à cadeia V1, e com a expiração da cadeia a política expira conjuntamente. No último dia 08, foi publicada uma nova LPA contendo as válidas e revogadas.
Quais as mudanças para os usuários finais e para as aplicações que utilizam certificação digital ICP-Brasil com a expiração da cadeia V1 e suas políticas de assinatura?
No dia 1° de janeiro de 2015, as que ainda estão utilizando certificado válido da cadeia V1, além de obter um certificado válido na cadeia V2, também devem atualizar as políticas de assinatura para manter a conformidade da aplicação. Fica o alerta para que todos fiquem atentos para essas expirações e providenciem as necessárias atualizações para evitar inconformidades. Até 31 de dezembro de 2014, o usuário deve procurar sua Autoridade de Registro – AR para emitir um novo par de chaves criptográficas, gerado na cadeia V2.
Fonte ITI