- 6. Certificados Digitais
6.1. Padrão de Certificado Digital - 6. Certificados Digitais
« Anterior - 6.2. Qual tipo de certificado e de quem adquirir?
Próximo »
6.1. Padrão de Certificado Digital
O Projeto CT-e exige o uso de Certificado Digital com as seguintes características:
- padrão X509 - v3, emitida por Autoridade Certificadora credenciada ao ICP-BR;
- certificado digital de Pessoa Jurídica, devendo conter o CNPJ da empresa no campo otherName OID = 2.16.76.1.3.3;
- uso da chave = Assinatura Digital e Não-recusa;
- uso avançado da chave = Autenticação Cliente;
- algoritmo de assinatura = sha1RSA;
A princípio, qualquer certificado digital de Pessoa Jurídica - PJ do tipo e-CNPJ ou e-PJ emitido por Autoridade Certificadora - AC credenciada ao ICP-BR pode ser utilizado no projeto.
Os certificados digitais do tipo A1 ou A3 têm as mesmas funcionalidades e a principal diferença está relacionada com a mídia de armazenamento e a portabilidade do certificado digital.
O certificado digital do tipo A3 é armazenado em dispositivo portátil inviolável do tipo smart card ou token USB, que contém um chip com capacidade de criptografia (assinatura digital). Do ponto de vista de segurança, este tipo de certificado é mais seguro, pois a chave privada utilizada para assinatura digital nunca é exposta, pois todas as operações são realizadas no chip existente no chip portátil e o acesso ao chip é realizado mediante autenticação com fornecimento do PIN, sendo indicado para uso na autenticação e acesso de sistemas não confiáveis. A portabilidade e a segurança do dispositivo tipo A3 permite o uso de forma similar ao uso que temos com o cartão de conta corrente ou de crédito que utilizamos nas agências bancárias e pontos de vendas, que são equipamentos de terceiros não confiáveis. Mas cabe ressaltar que esta característica não é muito relevante no processo de assinatura do CT-e, pois a aplicação é executada em computadores da empresa no logon do usuário que pode e deve ser protegido por usuário e senha.
Também vale observar que o certificado digital do tipo A3 pode apresentar mal funcionamento por uso de software gerenciador do dispositivo digital não compatível com o smart card ou token. A maioria dos novos usuários tem dificuldade para solucionar este problema, até porque na maioria dos casos, o suporte do fornecedor do certificado digital não orienta para verificar esta possibilidade, insistindo que a rotina de assinatura utilizada está com problemas.
O certificado digital do tipo A1 é arquivo digital que deve ser instalado em algum computador para que possa ser utilizado, ou seja, neste tipo de certificado digital todas as operações de criptografia são realizadas pelo provedor do serviço de criptografia - CSP do Sistema Operacional do equipamento ou pela Aplicação. A dependência de um hardware externo para o seu funcionamento torna o certificado digital mais vulnerável, não sendo indicado para uso que exige portabilidade como é o caso de uso pessoal do certificado digital como já foi citado.
O certificado digital do tipo A1 é mais indicado para uso em aplicação, como é o caso da emissão do CT-e, pois o mesmo será instalado em equipamento conhecido e será acessado apenas pela aplicação e com controle de acesso dos usuários ao sistema não existe grande risco de uso indevido do certificado, além da versatilidade de uso e performance que é superior ao certificado do tipo A3, pois as operações são realizadas no equipamento que está instalado, que tem um desempenho muito superior se comparado ao chip utilizado no smart card ou token.
A nossa recomendação é pela opção do certificado digital do tipo A1 que acreditamos ser o mais adequado para uso em aplicações, a menos que a empresa tenha condições de adquirir um Hardware Security Module - HSM, que provavelmente não deve ser a realidade dos nossos usuários em função do custo e do volume de emissão.
Uma outra característica interessante do certificado digital do tipo A1 é a possibilidade de se gerar cópia de segurança do certificado digital, o que significa que o mesmo certificado digital pode ser utilizado em mais de um equipamento, assim como ocorre com o certificado digital genérico da associação que sofreu o milagre da multiplicação e deve estar sendo utilizado por centenas de pessoas.
Esta característica é bastante interessante para o desenvolvedor, pois possibilita a manutenção de uma cópia de segurança do certificado digital do cliente para realizar os testes de implementação e suporte, mas deve ser utilizada com muita cautela e responsabilidade, pois pode ter consequências jurídicas não desejadas se realizada sem o devido consentimento do titular do certificado digital.
- 6.1. Padrão de Certificado Digital
6. Certificados Digitais - « Anterior
6. Certificados Digitais - Próximo »
6.2. Qual tipo de certificado e de quem adquirir?