[sei-negocio] Bloqueio automático do Java no Firefox e Chrome

Ruy Ramos ruy.ramos em iti.gov.br
Segunda Abril 3 11:38:48 BRT 2017


Prezados (as)


Gostaria de prestar alguns esclarecimentos em relação ao tema que 
envolve a ICP-Brasil e também o ITI sobre  inserção dos certificados em 
repositórios confiáveis.

Em reunião do SISP, o Diretor do ITI, Maurício Coelho, repassou a 
situação geral em que se encontram os processos de inserção de raízes 
nos respositórios de alguns dos fornecedores.

Em relação a Microsoft, o ITI mantem contrato de inserção das raízes da 
ICP-Brasil desde 2008. Isso abrange todos os produtos Microsoft e também 
aqueles que podem fazer uso do repositório comum do Windows, incluindo o 
Google Chrome.

Em relação a Adobe, o ITI mantem também contrato, desde 2015. E portanto 
o Acrobat Reader reconhece quaisquer arquivos com certificado digital 
ICP-Brasil. Por restrições da política da Adobe, apenas a partir de 
certificados A2, A3 e A4. Para reconhecimento de documentos assinados 
com A1 a inserção deve ser feita manualmente e instruções encontram-se 
no portal do ITI.

Em relação a Fundação Mozilla, a situação é mais complexa porque a 
Fundação não assina contrato, e tem modelo diverso para aceitar 
certificados raízes. Isso tem levado a postergar por algum tempo a 
inserção. Em resumo, a cada avanço da parte da ICP-Brasil, a Fundação 
altera as políticas de acesso. Em última posição estabeleceu que não 
aceitaria o certificado raiz da ICP-Brasil até que todos os certificados 
de AC-subsequentes fossem inseridos. Desde então estamos em discussão 
com as AC-subsequentes para que sejam inseridos pelo menos 2 
certificados de AC. O SERPRO já manifestou o interesse e deve iniciar o 
processo com a criação de grupo interno para tratar deste assunto. Com a 
entrada do SERPRO espera-se que resolva o problema de certificados SSL 
dos portais de governo.

Registramos que a cadeia da ICP-Brasil já esteve na bilbioteca de 
confiança NSS (Fundação Mozilla) até 2008 quando mudaram a política e 
deixaram de manter a cadeia ICP-Brasil.


Em relação a Apple e Google foram também iniciadas as tratativas mas 
ainda sem definição, visto que as representações em território 
brasileiro não tem competência para tratar do tema.


E por último, e não menos importante, a ICP-Brasil já atende aos 
requisitos da WEBTRUST conforme noticiado em 
http://www.iti.gov.br/noticias/indice-de-noticias/5294-icp-brasil-recebe-selo-de-conformidade-webtrust-ca1 
e disponível no link da  própria Webtrust 
https://cert.webtrust.org/ViewSeal?id=2210

Acreditamos que com este recente reconhecimento internacional possamos 
avançar, inclusive com a Fundação Mozilla.


Certos de prestar os esclarecimentos necessários, estamos a disposição 
para outros.

Saudações
Ruy Ramos
Assessor
ITI




On 03/28/2017 08:14 AM, Carlos Eduardo Araujo Vieira wrote:
>
> Não respondo por nada no PEN/SEI então não posso te afirmar nada sobre 
> o projeto.
>
>
> O ICP-Brasil já afirmou que não vai se movimentar para isso. 
> [1] a partir dos 3:00. E essa posição de 'não movimentação' 
> afeta negativamente o que você chamou de 'plano A'.
>
>
> O que todos nós podemos fazer é exigir daqueles que 
> vendem certificados é exigir a instalação por default nos browsers/SOs 
> que vocês utilizam sem a exigência de instalação pelo usuário [2]. Sem 
> isso creio que os CAs não irão se movimentar.
>
>
> Atenciosamente,
>
> Carlos Vieira
>
>
> [1] https://youtu.be/_0Vev0dUEHE?t=180
>
> [2] https://bugzilla.mozilla.org/show_bug.cgi?id=438825#c126
>
>
> ------------------------------------------------------------------------
> *De:* Leonardo Rodrigues de Campos Passos <leonardo.passos em susep.gov.br>
> *Enviado:* segunda-feira, 27 de março de 2017 15:05
> *Para:* Carlos Eduardo Araujo Vieira
> *Assunto:* RES: Bloqueio automático do Java no Firefox e Chrome
>
> Boa Tarde Carlos Eduardo,
>
> Obrigado pela pronta resposta.
>
> A ideia então seria trocar o Applet por um Web Start?
>
> Se o ICP-Brasil não se movimentar para a instalação automática dos 
> certificados, o “plano A” seria o SEI 3.0 versão livre de Applets?
>
> Desde já, muito obrigado.
>
> Atenciosamente,
>
> Leonardo Passos.
>
> Agente Executivo
>
> SUSEP/CGEAF/CODOC
>
> *De:* Carlos Eduardo Araujo Vieira 
> [mailto:carlos.vieira em planejamento.gov.br]
> *Enviada em:* segunda-feira, 27 de março de 2017 14:04
> *Para:* Leonardo Rodrigues de Campos Passos 
> <leonardo.passos em susep.gov.br>; sei-negocio em listas.softwarepublico.gov.br
> *Assunto:* Re: Bloqueio automático do Java no Firefox e Chrome
>
> Prezado Leonardo,
>
> Esclarecendo o trigger não é o mês mas sim que as novas versões não 
> darão mais suporte ao Java Applet. O suporte ao Java Web Start ainda 
> existe. E isso vem sido anunciado faz alguns anos. [1] [2] [3]
>
> Não sei sobre a alternativa que o SEI dará mas já teria que estar 
> pronto para não sofrer esse problema. Mas pelo manual do seiatos [4] a 
> versão suportada dos browsers são versões bem antigas como o IE 6 , 
> 6.5(?) e 7 e Firefox 3.5 e Chrome 5. Todos esses sem suporte dos 
> respectivos fabricantes.
>
> A alternativa mais rápida seria trocar o Java Applet por um Java Web 
> Start. Esse mudança é simples mas não sei se vai ser feita. Eu mesmo 
> em 2010 fiz um programa em Java usando Web Start e foi bem simples de 
> realizar [5] [6]. O problema seria o ICP-Brasil que não possui a 
> instalação dos seus certificados de forma automática e disse, no 
> último encontro do SISP, que nem vai se movimentar para realizar isso 
> [7] [8].
>
> Atenciosamente,
>
> Carlos Vieira
>
> [1] 
> https://blog.mozilla.org/futurereleases/2013/09/24/plugin-activation-in-firefox/
>
> [2] 
> https://blog.mozilla.org/futurereleases/2015/10/08/npapi-plugins-in-firefox/
>
> [3] 
> https://blog.chromium.org/2013/09/saying-goodbye-to-our-old-friend-npapi.html
>
> [4] 
> http://www.planejamento.gov.br/secretarias/upload/Arquivos/seges/arquivos/manual_usuario_sei_atos-1.pdf/
>
> [5] 
> https://blogs.oracle.com/java-platform-group/entry/launching_web_start_applications
>
> [6] *​ ​https://www.java.com/pt_BR/download/faq/chrome.xml*
>
> [7] https://www.youtube.com/watch?v=_0Vev0dUEHE
>
> [8] https://www.youtube.com/watch?v=YwseDKFftQU​
>
> ------------------------------------------------------------------------
>
> *De:*sei-negocio <sei-negocio-bounces em listas.softwarepublico.gov.br 
> <mailto:sei-negocio-bounces em listas.softwarepublico.gov.br>> em nome de 
> Leonardo Rodrigues de Campos Passos <leonardo.passos em susep.gov.br 
> <mailto:leonardo.passos em susep.gov.br>>
> *Enviado:* segunda-feira, 27 de março de 2017 12:05
> *Para:* sei-negocio em listas.softwarepublico.gov.br 
> <mailto:sei-negocio em listas.softwarepublico.gov.br>
> *Assunto:* [sei-negocio] Bloqueio automático do Java no Firefox e Chrome
>
> Bom dia a todos,
>
> A partir deste mês, os navegadores Firefox e Chrome bloquearão por 
> default a execução do plugin Java. No âmbito desta SUSEP, este plugin 
> é utilizado no SEI para assinatura com certificado digital (token). 
> Existe alguma alternativa para continuar assinando com certificação 
> digital utilizando-se dos referidos navegadores?
>
> Desde já, muito obrigado.
>
> Atenciosamente,
>
> Leonardo Passos.
> Agente Executivo
>
> SUSEP/CGEAF/CODOC
>
>
> -- 
> Esta mensagem foi verificada pelo sistema de antivírus e
> acredita-se estar livre de vírus.
>
>
> _______________________________________________
> sei-negocio mailing list
> sei-negocio em listas.softwarepublico.gov.br
> https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/sei-negocio


-- 

-- 
Esta mensagem foi verificada pelo sistema de antivírus e
 acredita-se estar livre de vírus.

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.softwarepublico.gov.br/pipermail/sei-negocio/attachments/20170403/49f3201b/attachment-0001.html>
-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: iti-ruy.png
Tipo: image/png
Tamanho: 4627 bytes
Descrição: não disponível
URL: <http://listas.softwarepublico.gov.br/pipermail/sei-negocio/attachments/20170403/49f3201b/attachment-0001.png>


Mais detalhes sobre a lista de discussão sei-negocio