Re: certificados ICP BRASIL
2010/10/15 Allison Vollmann escreveu: Você precisa confiar nas cadeias de certificados da ICP-Brasil e da autoridade certificadora que os assinou. No Firefox você pode fazer isso em Opções - Criptografia - Certificados - Importar. Se você instalou o pacote ca-certificates então vai ter um diretório '/etc/ssl/certs' onde ficam os certificados e maioria dos aplicativos o utiliza como base (provavelmente o mesmo aconteça com o iceweasel), então basta colocar os certificados da CA e da cadeia da ICP-Brasil neste diretório, e estarão disponíveis para os outros aplicativos. Provavelmente uma das duas formas irá solucionar o seu problema. A Cadeia de certificados da ICP-Brasil você encontra em[1], caso o certificado foi emitido por outra certificadora além da cadeia da ICP Brasil você irá precisar dos certificados da entidade que os emitiu. [1] http://www.serpro.gov.br/servicos/certificacao_digital Agora que existem várias respostas, vamos trazer o assunto de volta para o Debian: Enquanto não se faz o convênio com os desenvolvedores de navegadores para que eles confiem no certificado, o pacote ca-certificates, não deveria fazer essa configuração? Eu acho que esse problema não existia no ano passado. Sempre achei que os tais certificados do governo brasileiro presentes no ca-certificates fossem esses... -- Bruno Schneider http://www.dcc.ufla.br/~bruno/ -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktik3ztdhg6wjme_y+19_7bpqauljsfzrdusud...@mail.gmail.com
Re: certificados ICP BRASIL
--- Em seg, 18/10/10, Bruno Schneider boschnei...@gmail.com escreveu: De: Bruno Schneider boschnei...@gmail.com Assunto: Re: certificados ICP BRASIL Para: Lista Debian debian-user-portuguese@lists.debian.org Data: Segunda-feira, 18 de Outubro de 2010, 9:55 2010/10/15 Allison Vollmann escreveu: Você precisa confiar nas cadeias de certificados da ICP-Brasil e da autoridade certificadora que os assinou. No Firefox você pode fazer isso em Opções - Criptografia - Certificados - Importar. Se você instalou o pacote ca-certificates então vai ter um diretório '/etc/ssl/certs' onde ficam os certificados e maioria dos aplicativos o utiliza como base (provavelmente o mesmo aconteça com o iceweasel), então basta colocar os certificados da CA e da cadeia da ICP-Brasil neste diretório, e estarão disponíveis para os outros aplicativos. Provavelmente uma das duas formas irá solucionar o seu problema. A Cadeia de certificados da ICP-Brasil você encontra em[1], caso o certificado foi emitido por outra certificadora além da cadeia da ICP Brasil você irá precisar dos certificados da entidade que os emitiu. [1] http://www.serpro.gov.br/servicos/certificacao_digital Agora que existem várias respostas, vamos trazer o assunto de volta para o Debian: Enquanto não se faz o convênio com os desenvolvedores de navegadores para que eles confiem no certificado, o pacote ca-certificates, não deveria fazer essa configuração? Eu acho que esse problema não existia no ano passado. Sempre achei que os tais certificados do governo brasileiro presentes no ca-certificates fossem esses... -- Bruno Schneider http://www.dcc.ufla.br/~bruno/ -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktik3ztdhg6wjme_y+19_7bpqauljsfzrdusud...@mail.gmail.com Esse procedimento precisa ser feito em qualquer sistema operacional (não é um caso específico do debian, ocorre com o windows também), não é um caso de convênio e sim de falta de assinatura de um certificado raiz considerado confiável globalmente, o ICP Brasil fornece a cadeia de certificados e devem ser confiados para quem quiser consumir os serviços de escrituração fiscal eletrônica (NFe, CTe, SPED), então basta confiar nos certificados raiz fornecidos por ele de acordo com sistema utilizado. Não creio que haverá um convênio ou então pegarão uma assinatura de uma AC Raiz (como a VeriSign, neste caso o ICP se tornaria uma AC intermediária). É a mesma coisa caso a sua empresa pretenda disponibilizar um serviço restrito a seus clientes e criasse uma autoridade certificadora e emitisse uma chave para cada cliente e exigisse autenticação de chave privada, pois se fosse feito através de outra entidade poderia ter um custo elevado (para cada chave) quando não seria necessário visto que o serviço é restrito e a confiança de troca de chaves se deve na hierarquia do certificado raiz de sua empresa iria fornecer. A[]'s -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/413606.82870...@web63301.mail.re1.yahoo.com
Re: certificados ICP BRASIL
2010/10/18 Allison Vollmann escreveu: Esse procedimento precisa ser feito em qualquer sistema operacional (não é um caso específico do debian, ocorre com o windows também), não é um caso de convênio e sim de falta de assinatura de um certificado raiz considerado confiável globalmente, o ICP Brasil fornece a cadeia de certificados e devem ser confiados para quem quiser consumir os serviços de escrituração fiscal eletrônica (NFe, CTe, SPED), então basta confiar nos certificados raiz fornecidos por ele de acordo com sistema utilizado. Não creio que haverá um convênio ou então pegarão uma assinatura de uma AC Raiz (como a VeriSign, neste caso o ICP se tornaria uma AC intermediária). É a mesma coisa caso a sua empresa pretenda disponibilizar um serviço restrito a seus clientes e criasse uma autoridade certificadora e emitisse uma chave para cada cliente e exigisse autenticação de chave privada, pois se fosse feito através de outra entidade poderia ter um custo elevado (para cada chave) quando não seria necessário visto que o serviço é restrito e a confiança de troca de chaves se deve na hierarquia do certificado raiz de sua empresa iria fornecer. Allison, eu entendo o sistema de autenticação via certificados. A questão que estou levantando é que o pacote ca-certificates serve para isso. Quando alguém instala o pacote ca-certificates, passa a confiar em diversos certificados reconhecidos por aí, incluindo os do projeto Debian e, suspostamente, os do governo brasileiro. Eu fiz uma imagem [1] mostrando que ele instala alguns certificados do ICP-Brasil. O objetivo é livrar o usuário leigo de ter que passar pelo processo de configuração de confiança para determinados certificados. Alguém me corrija se eu estiver errado nisso. Acontece que mesmo com o pacote instalado, meus navegadores não confiam nos certificados do governo (os que precisei esses dias). O problema não é como corrigir isso manualmente, mas como está a distribuição Debian nessa questão (estou usando testing). No meu entender o ca-certificates, deve estar usando certificados antigos do ICP Brasil, ou então está instalando uma quantidade insuficiente desses certificados ou é o próprio governo usando certificados inapropriados em seus sites. Não sei avaliar isso direito. Existem muitos certificados do ICP Brasil, e não fica claro (pelo menos para mim) qual a finalidade/utilidade de cada um. Com a aproximação de uma nova versão estável do Debian, seria muito interessante que o ca-certificates fosse atualizado/melhorado/corrigido (sei lá), livrando os usuários brasileiros da configuração manual para certificados do ICP Brasil, pois no meu entender, *o pacote se propõe a isso*. No meu caso em particular, o certificado http://acraiz.icpbrasil.gov.br/ICP-Brasilv3.crt não foi instalado pois já existia no sistema (acredito que fornecido pelo ca-certificates), enquanto que o http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt foi instalado sem problemas e fez o iceweasel passar a confiar no certificado usado nas páginas que eu preciso. Espero ter respondindo o Messias Alves com isso. As perguntas que surgiram no processo são: 1) Por que o certificado em http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt não é fornecido pelo ca-certificates? 2) Será que outras páginas do governo precisam de certificados diferentes também não fornecidos pelo ca-certificates? 3) Por que em todos os certificados ICP Brasil, a opção this certificate can identify web sites [1] fornecidos pelo ca-certificates estava desmarcada? [1] http://img215.imageshack.us/img215/9678/icpbrasil.png -- Bruno Schneider http://www.dcc.ufla.br/~bruno/ -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikndkuzo5heqjlwr4aga2xq6shnfda701jtr...@mail.gmail.com
Re: certificados ICP BRASIL
Em 18 de outubro de 2010 13:43, Bruno Schneider boschnei...@gmail.com escreveu: 2010/10/18 Allison Vollmann escreveu: É a mesma coisa caso a sua empresa pretenda disponibilizar um serviço restrito a seus clientes e criasse uma autoridade certificadora e emitisse uma chave para cada cliente e exigisse autenticação de chave privada, pois se fosse feito através de outra entidade poderia ter um custo elevado (para cada chave) quando não seria necessário visto que o serviço é restrito e a confiança de troca de chaves se deve na hierarquia do certificado raiz de sua empresa iria fornecer. Allison, eu entendo o sistema de autenticação via certificados. A questão que estou levantando é que o pacote ca-certificates serve para isso. Quando alguém instala o pacote ca-certificates, passa a confiar em diversos certificados reconhecidos por aí, incluindo os do projeto Debian e, suspostamente, os do governo brasileiro. Eu fiz uma imagem [1] mostrando que ele instala alguns certificados do ICP-Brasil. O objetivo é livrar o usuário leigo de ter que passar pelo processo de configuração de confiança para determinados certificados. Alguém me corrija se eu estiver errado nisso. O que aconteceu foi uma coisa insolita: Oa mantenedores do firefox sempre incluiram os certificados da ICP-Brasil automaticamente, e de umas versoes do firefox pra cá eles exigiram que a ICP-Brasil enviasse um oficio formal solicitando a inclusão, o que não foi feito a tempo e a fundação ficou com birrinha. O mesmo procedimento foi adotado pela M$, que incluiu no IE imediatamente. http://br.mozdev.org/drupal/2008/07/icp-brasil-deve-ser-adicionado-ao-firefox https://bugzilla.mozilla.org/show_bug.cgi?id=438825 Sobre o ca-certificates eu concordo com o Bruno, mas ele somente faria o que se espera dele se o firefox fosse lá checar e não mantivesse uma base de dados propria para certificados. Por isso faz muito tempo que eu digo não ao firefox e congeneres e uso epiphany, que a cada dia melhora mais ainda com webkit -- @chinabhz -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimgmmhtyjkuo0cgnzoafu-arvtn6xg5lpm+w...@mail.gmail.com
Re: certificados ICP BRASIL
2010/10/14 Bruno Schneider escreveu: Meus navegadores (iceweasel e epiphany) não estão reconhecendo os certificados do ICP Brasil apesar do pacote ca-certificates estar instalado. Não é esse pacote que tem os certificados? Qual é o jeito Debian de instalar os certificados? O erro é: The certificate is not trusted because the issuer certificate is unknown. Exemplo de URL: https://acraiz.icpbrasil.gov.br/repositorio/mfirefox-sha512.txt Alguém poderia ao menos informar se tem o mesmo problema, para eu ter uma noção se é algo na minha instalação? -- Bruno Schneider http://www.dcc.ufla.br/~bruno/ -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimkxoe4pypkm1kfqqlc9qgkvwbe1paks8orf...@mail.gmail.com
Re: certificados ICP BRASIL
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 15-10-2010 08:58, Bruno Schneider wrote: 2010/10/14 Bruno Schneider escreveu: Meus navegadores (iceweasel e epiphany) não estão reconhecendo os certificados do ICP Brasil apesar do pacote ca-certificates estar instalado. Não é esse pacote que tem os certificados? Qual é o jeito Debian de instalar os certificados? O erro é: The certificate is not trusted because the issuer certificate is unknown. Exemplo de URL: https://acraiz.icpbrasil.gov.br/repositorio/mfirefox-sha512.txt Alguém poderia ao menos informar se tem o mesmo problema, para eu ter uma noção se é algo na minha instalação? No chromium The site's security certificate is not trusted! You attempted to reach acraiz.icpbrasil.gov.br, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system. This may mean that the server has generated its own security credentials, which Chromium cannot rely on for identity information, or an attacker may be trying to intercept your communications. You should not proceed, especially if you have never seen this warning before for this site. Att, - -- Flamarion Jorge OpenPGP Key: 6CA750E1 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAky4TRYACgkQ0SDRnmynUOHGMQCgjxKdDt5bmKpIvznh8qOqNDV4 vAMAnj3go57kaiaPY9DbrHRpEhke36lO =dm2C -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4cb84d16.3010...@yahoo.com.br
Re: certificados ICP BRASIL
É isso mesmo, aqui tb rola. Aparentemente a CA deles n é confiável para os navegadores populares (pelo menos para Linux, n testei em IE). Isso deve ser resolvido lá, internamente, entre eles. O melhor à fazer é comunicar eles. Mas certamente eles já sabem... 2010/10/15 Flamarion Jorge flamarili...@yahoo.com.br: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 15-10-2010 08:58, Bruno Schneider wrote: 2010/10/14 Bruno Schneider escreveu: Meus navegadores (iceweasel e epiphany) não estão reconhecendo os certificados do ICP Brasil apesar do pacote ca-certificates estar instalado. Não é esse pacote que tem os certificados? Qual é o jeito Debian de instalar os certificados? O erro é: The certificate is not trusted because the issuer certificate is unknown. Exemplo de URL: https://acraiz.icpbrasil.gov.br/repositorio/mfirefox-sha512.txt Alguém poderia ao menos informar se tem o mesmo problema, para eu ter uma noção se é algo na minha instalação? No chromium The site's security certificate is not trusted! You attempted to reach acraiz.icpbrasil.gov.br, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system. This may mean that the server has generated its own security credentials, which Chromium cannot rely on for identity information, or an attacker may be trying to intercept your communications. You should not proceed, especially if you have never seen this warning before for this site. Att, - -- Flamarion Jorge OpenPGP Key: 6CA750E1 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAky4TRYACgkQ0SDRnmynUOHGMQCgjxKdDt5bmKpIvznh8qOqNDV4 vAMAnj3go57kaiaPY9DbrHRpEhke36lO =dm2C -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4cb84d16.3010...@yahoo.com.br -- -- Guilherme Rocha GF7 Doc Systems - Soluções Tecnológicas Pesquisa e Desenvolvimento - World Wide R. João Goulart, 170 - Rio Pardo - RS - CEP 96640-000 Mobile: +55 51 81400360 - Home Page: http://www.gf7.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikqm9wrwzvu-fp+opcdrcriyboooizzhznib...@mail.gmail.com
Re: certificados ICP BRASIL
Você precisa confiar nas cadeias de certificados da ICP-Brasil e da autoridade certificadora que os assinou. No Firefox você pode fazer isso em Opções - Criptografia - Certificados - Importar. Se você instalou o pacote ca-certificates então vai ter um diretório '/etc/ssl/certs' onde ficam os certificados e maioria dos aplicativos o utiliza como base (provavelmente o mesmo aconteça com o iceweasel), então basta colocar os certificados da CA e da cadeia da ICP-Brasil neste diretório, e estarão disponíveis para os outros aplicativos. Provavelmente uma das duas formas irá solucionar o seu problema. A Cadeia de certificados da ICP-Brasil você encontra em[1], caso o certificado foi emitido por outra certificadora além da cadeia da ICP Brasil você irá precisar dos certificados da entidade que os emitiu. [1] http://www.serpro.gov.br/servicos/certificacao_digital A[]'s --- Em sex, 15/10/10, Guilherme Rocha guilhe...@gf7.com.br escreveu: De: Guilherme Rocha guilhe...@gf7.com.br Assunto: Re: certificados ICP BRASIL Para: Flamarion Jorge flamarili...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Sexta-feira, 15 de Outubro de 2010, 13:23 É isso mesmo, aqui tb rola. Aparentemente a CA deles n é confiável para os navegadores populares (pelo menos para Linux, n testei em IE). Isso deve ser resolvido lá, internamente, entre eles. O melhor à fazer é comunicar eles. Mas certamente eles já sabem... 2010/10/15 Flamarion Jorge flamarili...@yahoo.com.br: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 15-10-2010 08:58, Bruno Schneider wrote: 2010/10/14 Bruno Schneider escreveu: Meus navegadores (iceweasel e epiphany) não estão reconhecendo os certificados do ICP Brasil apesar do pacote ca-certificates estar instalado. Não é esse pacote que tem os certificados? Qual é o jeito Debian de instalar os certificados? O erro é: The certificate is not trusted because the issuer certificate is unknown. Exemplo de URL: https://acraiz.icpbrasil.gov.br/repositorio/mfirefox-sha512.txt Alguém poderia ao menos informar se tem o mesmo problema, para eu ter uma noção se é algo na minha instalação? No chromium The site's security certificate is not trusted! You attempted to reach acraiz.icpbrasil.gov.br, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system. This may mean that the server has generated its own security credentials, which Chromium cannot rely on for identity information, or an attacker may be trying to intercept your communications. You should not proceed, especially if you have never seen this warning before for this site. Att, - -- Flamarion Jorge OpenPGP Key: 6CA750E1 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAky4TRYACgkQ0SDRnmynUOHGMQCgjxKdDt5bmKpIvznh8qOqNDV4 vAMAnj3go57kaiaPY9DbrHRpEhke36lO =dm2C -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4cb84d16.3010...@yahoo.com.br -- -- Guilherme Rocha GF7 Doc Systems - Soluções Tecnológicas Pesquisa e Desenvolvimento - World Wide R. João Goulart, 170 - Rio Pardo - RS - CEP 96640-000 Mobile: +55 51 81400360 - Home Page: http://www.gf7.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikqm9wrwzvu-fp+opcdrcriyboooizzhznib...@mail.gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/200243.27733...@web63308.mail.re1.yahoo.com
Re: certificados ICP BRASIL
Guilherme, Creio que eles já sabem. Para que esses certificados da raiz ICP-Brasil já venham como os navegadores é preciso que se estabeleça um convênio/contrato com as empresas/fundações desenvolvedoras, o que acho que deve estar sendo providenciado pelo ITI. -- []'s Messias Alves jmessiasalves(@)gmail(.)com Coloque a ciência em prática, o caminho está no treinamento. - Miyamoto Musashi Conheça e aprenda um pouco mais sobre o Piauí - www.teresinapanoramica.com Em 15 de outubro de 2010 12:23, Guilherme Rocha guilhe...@gf7.com.brescreveu: É isso mesmo, aqui tb rola. Aparentemente a CA deles n é confiável para os navegadores populares (pelo menos para Linux, n testei em IE). Isso deve ser resolvido lá, internamente, entre eles. O melhor à fazer é comunicar eles. Mas certamente eles já sabem... 2010/10/15 Flamarion Jorge flamarili...@yahoo.com.br: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 15-10-2010 08:58, Bruno Schneider wrote: 2010/10/14 Bruno Schneider escreveu: Meus navegadores (iceweasel e epiphany) não estão reconhecendo os certificados do ICP Brasil apesar do pacote ca-certificates estar instalado. Não é esse pacote que tem os certificados? Qual é o jeito Debian de instalar os certificados? O erro é: The certificate is not trusted because the issuer certificate is unknown. Exemplo de URL: https://acraiz.icpbrasil.gov.br/repositorio/mfirefox-sha512.txt Alguém poderia ao menos informar se tem o mesmo problema, para eu ter uma noção se é algo na minha instalação? No chromium The site's security certificate is not trusted! You attempted to reach acraiz.icpbrasil.gov.br, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system. This may mean that the server has generated its own security credentials, which Chromium cannot rely on for identity information, or an attacker may be trying to intercept your communications. You should not proceed, especially if you have never seen this warning before for this site. Att, - -- Flamarion Jorge OpenPGP Key: 6CA750E1 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAky4TRYACgkQ0SDRnmynUOHGMQCgjxKdDt5bmKpIvznh8qOqNDV4 vAMAnj3go57kaiaPY9DbrHRpEhke36lO =dm2C -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4cb84d16.3010...@yahoo.com.br -- -- Guilherme Rocha GF7 Doc Systems - Soluções Tecnológicas Pesquisa e Desenvolvimento - World Wide R. João Goulart, 170 - Rio Pardo - RS - CEP 96640-000 Mobile: +55 51 81400360 - Home Page: http://www.gf7.com.br
certificados ICP BRASIL
Meus navegadores (iceweasel e epiphany) não estão reconhecendo os certificados do ICP Brasil apesar do pacote ca-certificates estar instalado. Não é esse pacote que tem os certificados? Qual é o jeito Debian de instalar os certificados? O erro é: The certificate is not trusted because the issuer certificate is unknown. Exemplo de URL: https://acraiz.icpbrasil.gov.br/repositorio/mfirefox-sha512.txt -- Bruno Schneider http://www.dcc.ufla.br/~bruno/ -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimvmto_5wiyfm42an6wostx7fhllyk9sjkwf...@mail.gmail.com