search

demoiselle / signer

Repositório que contém os componentes para facilitar a implementação de assinatura digital nos padrões da ICP-BRASIL
https://www.frameworkdemoiselle.gov.br/v3/signer/
GNU Lesser General Public License v3.0
142 stars 73 forks source link

Erro ao validar assinatura com certificado da cadeia do SERPRO RFB v4 #384

Closed tobiaspetry closed 11 months ago

tobiaspetry commented 1 year ago

A partir da versão major 4, a validação de assinatura de documentos com certificados cujo issuer seja o Autoridade Certificadora SERPRORFBv4 está lançando erro:

Não foi possível resgatar as CAs do certificado no provedor CN=Autoridade Certificadora SERPRORFBv4, OU=Secretaria da Receita Federal do Brasil - RFB, O=ICP-Brasil, C=BR

Identificamos que na major 4 o certificado SERPRO RFB v4, expirado em outubro de 2021, foi removido da keystore icpbrasil.jks, assim como outros certificados que venceram.

Entendo que um certificado vencido ou com vencimento em algum certificado da cadeia não pode ser usado para uma nova assinatura. Porém, para validação de um documento assinado no passado, durante a vigência de toda a cadeia, os antigos CA deveriam ainda ser considerados.

esaito commented 1 year ago

Tem razão. Poderia anexar o arquivo e assinatura para que possamos usar para testes?

O ITI disponibiliza 2 arquivos, no caso deveríamos nos basear no cadeia completa.

Cadeia Vigente

Cadeia Completa

tobiaspetry commented 1 year ago

De fato, alterando o caminho do ITI para a cadeia completa (ACCompactadox.zip e hashsha512x.txt) a validação funciona. Conseguimos validar alterando os caminhos no arquivo chain-icp-brasil-config-default.properties. Obrigado!