search
A mídia que reinventa a empresa
Registrar un software

Qual autoridade de certificação eletrônica devo escolher?

Qual autoridade de certificação eletrônica devo escolher?

Por Samantha Mur

Em 29 de outubro de 2024

Uma autoridade de certificação é uma entidade que emite certificados eletrônicos para garantir um alto nível de segurança nas trocas eletrônicas das organizações.

À medida que as empresas fazem a transição para a tecnologia digital e transformam seus processos e práticas, como a desmaterialização de documentos, os problemas de gerenciamento e processamento de dados estão se tornando cada vez mais comuns.

Garantir a segurança dos dados e o valor legal das trocas on-line está se tornando uma prioridade. Como verificar se um site é confiável? Como é possível ter certeza de que um procedimento de assinatura eletrônica é legalmente admissível ou que um pagamento on-line é seguro?

Saiba mais sobre a função e as características de uma autoridade certificadora!

O que é uma autoridade de certificação?

Uma autoridade de certificação (CA) é uma entidade confiável que emite certificados digitais. É um provedor de serviços, como uma empresa privada ou uma autoridade administrativa, que cria, fornece e gerencia certificados eletrônicos em nome dos usuários.

O objetivo de uma autoridade de certificação é garantir :

  • a confiabilidade de um site
  • a identidade dos titulares de certificados
  • a ausência de risco em trocas de documentos e dados, como processos de pagamento on-line ou assinaturas eletrônicas.

Sua função: emitir certificados eletrônicos

Uma CA emite certificados eletrônicos, também conhecidos como certificados de chave pública, para garantir a segurança das trocas de dados de navegação e de computador.

O que é um certificado em computação? Um certificado emitido por uma autoridade de certificação :

  • garante a confiabilidade do conteúdo de servidores da Web (certificados SSL) ;
  • protege a confidencialidade dos dados durante transações e transferências de documentos eletrônicos;
  • autentica qualquer pessoa ou entidade que deseja se conectar a um espaço on-line;
  • atesta a identidade digital das pessoas que assinam documentos desmaterializados usando uma assinatura eletrônica, garantindo assim seu valor legal.

Por fim, o certificado emitido funciona como a carteira de identidade de um documento eletrônico ou site: se for fornecido por um terceiro confiável, seu valor legal é indiscutível.

Lista de autoridades de certificação

A função de autoridade de certificação pode ser assumida por :

  • governos
  • instituições bancárias
  • profissões regulamentadas, como notários e advogados,
  • federações de empresas do mesmo setor comercial,
  • empresas privadas, etc.

As autoridades de certificação definem as condições de uso e atribuição das identidades eletrônicas que emitem.

Qual autoridade de certificação devo escolher?

Critérios para a escolha de uma autoridade de certificação

  • Equipamento e software,
  • reputação
  • confiabilidade
  • preço.

Autoridade de certificação e assinatura eletrônica

Como faço para obter um certificado de assinatura eletrônica?

Uma autoridade de certificação permitirá que você obtenha um certificado de assinatura eletrônica, que é usado para garantir a validade, a confiabilidade e o nível da assinatura eletrônica.

O nível de segurança pode ser escolhido pelo usuário e corresponde a diferentes níveis de confiabilidade e garantia, conforme definido pelo regulamento eIDAS. Esses processos de certificação também conferem valor legal à assinatura eletrônica.

Por fim, as ACs na França atribuem um nível de qualidade de certificação a cada assinatura eletrônica com base no Sistema de Referência de Segurança Geral (RGS):

  • elementar (RGS*)
  • padrão (RGS**),
  • aprimorado (RGS***).

Seleção de terceiros confiáveis

Para obter um certificado eletrônico, você pode recorrer a um TSP (Trusted Electronic Service Provider), como o :

  • CertEurope, que oferece certificados de assinatura eletrônica em conformidade com o regulamento eIDAS e a estrutura de referência do RGS, além de uma plataforma de assinatura eletrônica;
  • Certigna by Tessi, que oferece um serviço de assinatura eletrônica em todos os níveis e em conformidade (eIDAS, RGS) para documentos oficiais, acompanhado de verificação de identidade, carimbo de data e hora e carimbo qualificado, bem como um sistema de assinatura eletrônica com valor probatório;
  • ChamberSign, que emite certificados eletrônicos de acordo com padrões muito rigorosos, com um nível de segurança endossado pela ANSSI;
  • Universign, que oferece serviços de assinatura eletrônica, selo eletrônico e carimbo de tempo, como um Prestador de Serviços Confiável qualificado de acordo com o regulamento europeu eIDAS.

Como funciona uma autoridade de certificação?

Emissão de um certificado eletrônico pela autoridade de certificação

Uma autoridade de certificação é responsável por estabelecer um vínculo seguro entre o usuário e o certificado que ela emite. Para isso

  1. a autoridade de certificação implementa mecanismos para verificar a identidade do solicitante do certificado, que são exigidos de acordo com diferentes níveis de segurança, do mais alto ao mais baixo.Esses mecanismos são exigidos de acordo com diferentes níveis de segurança, desde a verificação de documentos de identidade até uma reunião física (detalhada abaixo);
  2. a autoridade de certificação assina com sua própria chave privada para garantir a integridade do certificado e a confiabilidade das informações nele contidas;
  3. a chave privada está associada a um certificado raiz, que tem o mais alto nível de segurança;
  4. a autoridade de certificação se baseia no certificado raiz para criar certificados intermediários, que se beneficiam de seu nível de confiança e são usados para assinar os certificados digitais emitidos pela CA.

ℹ️ Base confiável para todos os certificados emitidos pela AC, o certificado raiz geralmente é armazenado em um local protegido off-line.

Autoridade de registro e unidade de produção

A operação de uma autoridade de certificação é baseada em :

  • uma autoridade de registro responsável pelas funções organizacionais:
    • processamento de solicitações de certificados
    • verificação das informações dos solicitantes
    • aceitação ou rejeição de solicitações
    • revogação de certificados;
  • uma unidade de produção que gerencia os aspectos técnicos da produção de serviços de certificação:
    • criação de identidades eletrônicas
    • manuseio de sistemas criptográficos,
    • garantir a segurança do ambiente e de todo o processo;
  • uma autoridade de repositório, que tem como objetivo :
    • centralizar
    • armazenar
    • arquivar certificados válidos, expirados ou revogados.

Como se tornar uma autoridade de certificação

Embora seja tecnicamente possível criar sua própria autoridade de certificação e gerar uma chave privada, é essencial que os usuários confiem nesse serviço.

No entanto, o número de autoridades de certificação autorizadas é limitado. Para participar de um esquema de reconhecimento de autoridade de certificação autorizada, é necessário atender a vários critérios, definidos por navegadores da Web, sistemas operacionais e dispositivos. Quando as CAs atendem a esses critérios, elas podem emitir certificados SSL, que são automaticamente reconhecidos.

As ACs também estão sujeitas regularmente a auditorias operacionais rigorosas, que são difíceis de cumprir. Elas garantem o nível de confiança que pode ser depositado em suas atividades.

Os diferentes tipos de certificado eletrônico

Para entidades que criam e distribuem conteúdo na Internet, o tipo de certificado mais difundido é o certificado SSL (Secure Socket Layer). Os certificados SSL estão vinculados a nomes de domínio e são usados para autenticar e criptografar trocas de dados com sites.

Para emitir um certificado digital, a autoridade confiável verifica a identidade do solicitante com base em determinadas verificações, que dependem da classe e do tipo de certificado exigido.

Há três níveis de confiança

  • Certificado de validação estendida(EV): o nível mais alto de garantia da identidade do solicitante do certificado, com base em uma grande quantidade de informações verificadas, incluindo vários elementos de identificação;
  • o certificado validado pela organização (OV): um nível de confiança que ainda é garantido, mas com verificações menos rigorosas;
  • o certificado de domínio validado(DV): a única condição para receber esse certificado é que a pessoa ou organização que faz a solicitação prove que é a proprietária do domínio para o qual a solicitação está sendo feita.

As autoridades de certificação expandiram sua gama de serviços e agora emitem certificados digitais que não são para domínios da Web, como certificados de assinatura de código :

  • certificados de assinatura de código
  • certificados de e-mail
  • certificados de dispositivos
  • certificados de cliente ou usuário (verificação de assinatura),

para várias finalidades de assinatura, criptografia e autenticação.

Para trocas eletrônicas seguras

Um certificado digital emitido por uma autoridade de certificação é uma garantia real de segurança para suas trocas eletrônicas, um requisito essencial em um momento em que o número de trocas de dados pela Internet está aumentando constantemente.

Está se tornando crucial autenticar a si mesmo em sites seguros, garantir o valor legal de documentos desmaterializados e autenticar pessoas ou entidades, graças à concessão de certificados digitais.

Depois de escolher o provedor de serviços, você deve estar ciente de que pode levar várias semanas para solicitar um certificado, portanto, planeje com antecedência!

A qual autoridade de certificação você confiará suas solicitações de certificado eletrônico?

Artigo traduzido do francês