Open caduvieira opened 8 years ago
Mozilla sugeriu tornar o HTTP como não-seguro desde abril de 2015. https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/
E também o Google https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure
Como fazemos com esse decreto que obriga a APF a usar os certificados no âmbito da ICP Brasil?
Enquanto não resolvemos esse questão do certificado digital uma solução que pode ser usada é da issue 547 do portal de serviços.
ignora que nem o site outlookmp.planejamento.gov.br ignora
Em 2 de março de 2016 11:08, isaacvits notifications@github.com escreveu:
Enquanto não resolvemos esse questão do certificado digital uma solução que pode ser usada é da issue 547 https://github.com/servicosgovbr/portal-de-servicos/issues/547 do portal de serviços.
— Reply to this email directly or view it on GitHub https://github.com/servicosgovbr/docker/issues/11#issuecomment-191250253 .
Compartilhando resposta que obtive do ITI, parece que o negócio vai demorar, pelo menos o IE já incorporou:
"O governo brasileiro, por intermédio desta Autarquia, tem tratado do assunto de inserção dos certificados de Autoridade Certificadora Raiz (AC-Raiz) da ICP-Brasil, diretamente com os principais fornecedores de softwares que de uma forma ou de outra, tratam do uso da certificação digital e tem regras ou requisitos próprios, o que por vezes dificulta o encaminhamento. Destacam-se como produtos o navegador Internet Explorer e o sistema operacional Windows (Microsoft), o leitor de arquivos PDF Acrobat Reader (Adobe), o ambiente Java (Oracle), o Firefox (Fundação Mozilla), o Safari (Apple) e Chrome (Google).
O fato é que apenas a Microsoft e Adobe, até o presente momento, aceitaram assinar acordo com o governo brasileiro para inserir no repositório dessas empresas, os certificados ICP-Brasil e assim permitir que estes certificados sejam distribuídos de forma automática aos usuários de seus respectivos produtos, e assim validar assinaturas digitais.
Cumpre esclarecer que a Fundação Mozilla tem procedimento diverso das demais empresas envolvidas nesta temática. O processo da Fundação Mozilla inclui que o pedido seja feito num fórum público que é analisado por consultores e/ou qualquer cidadão de qualquer nação. Também não é assinado qualquer documento que garanta às partes quando da ocorrência de eventuais dolos. Destaque-se ainda que a Fundação Mozilla não tem representante oficial em nosso país que possa ser responsabilizado. No sítio https://bugzilla.mozilla.org/show_bug.cgi?id=438825 , V.Sª poderá encontrar o pedido inicial, a exposição de motivos e os encaminhamentos quanto ao assunto elaborados pela equipe técnica desta autarquia.
Quantos as demais empresas fornecedoras, citadas inicialmente, o ITI estará retomando os contatos no 1º semestre do corrente ano. Certos dos esclarecimentos devidos. Informamos que eventuais novas informações serão amplamente divulgadas pelo portal do ITI (www.iti.gov.br)."
E tem o fato também desse certificado atual ser somente para servicos.gov.br e se torna inválido para www.servicos.gov.br mesmo no IE
Em qua, 2 de mar de 2016 15:51, Fabrício Almeida notifications@github.com escreveu:
Compartilhando resposta que obtive do ITI, parece que o negócio vai demorar, pelo menos o IE já incorporou:
"O governo brasileiro, por intermédio desta Autarquia, tem tratado do assunto de inserção dos certificados de Autoridade Certificadora Raiz (AC-Raiz) da ICP-Brasil, diretamente com os principais fornecedores de softwares que de uma forma ou de outra, tratam do uso da certificação digital e tem regras ou requisitos próprios, o que por vezes dificulta o encaminhamento. Destacam-se como produtos o navegador Internet Explorer e o sistema operacional Windows (Microsoft), o leitor de arquivos PDF Acrobat Reader (Adobe), o ambiente Java (Oracle), o Firefox (Fundação Mozilla), o Safari (Apple) e Chrome (Google).
O fato é que apenas a Microsoft e Adobe, até o presente momento, aceitaram assinar acordo com o governo brasileiro para inserir no repositório dessas empresas, os certificados ICP-Brasil e assim permitir que estes certificados sejam distribuídos de forma automática aos usuários de seus respectivos produtos, e assim validar assinaturas digitais.
Cumpre esclarecer que a Fundação Mozilla tem procedimento diverso das demais empresas envolvidas nesta temática. O processo da Fundação Mozilla inclui que o pedido seja feito num fórum público que é analisado por consultores e/ou qualquer cidadão de qualquer nação. Também não é assinado qualquer documento que garanta às partes quando da ocorrência de eventuais dolos. Destaque-se ainda que a Fundação Mozilla não tem representante oficial em nosso país que possa ser responsabilizado. No sítio https://bugzilla.mozilla.org/show_bug.cgi?id=438825 , V.Sª poderá encontrar o pedido inicial, a exposição de motivos e os encaminhamentos quanto ao assunto elaborados pela equipe técnica desta autarquia.
Quantos as demais empresas fornecedoras, citadas inicialmente, o ITI estará retomando os contatos no 1º semestre do corrente ano. Certos dos esclarecimentos devidos. Informamos que eventuais novas informações serão amplamente divulgadas pelo portal do ITI (www.iti.gov.br)."
— Reply to this email directly or view it on GitHub https://github.com/servicosgovbr/docker/issues/11#issuecomment-191369361 .
Eles esclareceram quais dolos eventuais seriam entre as partes? E que partes seriam essas?
As partes seriam o governo brasileiro e a Fundação Mozilla, no caso, mas não ficou esclarecido quais dolos seriam esses.
https://letsencrypt.readthedocs.org/en/latest/using.html#running-with-docker e ainda os certificados são válidos para os browsers mais novos.
https://helloworld.letsencrypt.org/