Diário Oficial da União
Publicado em: 04/11/2024 | Edição: 213 | Seção: 1 | Página: 1
Órgão: Presidência da República/Casa Civil/Comitê Gestor da Infraestrutura de Chaves Públicas
RESOLUÇÃO CG ICP-BRASIL nº 211, DE 31 DE OUTUBRO DE 2024
Dispõe sobre os tipos de certificados digitais emitidos no âmbito da Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, § 1º, inc. IV, da Resolução CG ICP-Brasil nº 190, de 18 de maio de 2021 (Regimento Interno), torna público que oCOMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, em reunião ordinária, realizada em sessão presencial em 31 de outubro de 2024, resolveu:
Art. 1º Esta Resolução dispõe sobre os tipos de certificados digitais emitidos no âmbito da Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Art. 2º Ficam criados os seguintes tipos de certificado digital no âmbito da ICP-Brasil:
I - certificado digital de selo eletrônico em software - SE-S;
II - certificado digital de selo eletrônico em hardware - SE-H;
III - certificado digital de aplicações específicas em software - AE-S; e
IV - certificado digital de aplicações específicas em hardware - AE-H.
Art. 3º Ficam extintos os seguintes tipos de certificado digital no âmbito da ICP-Brasil:
I - certificado de assinatura dos tipos A1 e A2; e
II - certificado de sigilo dos tipos S1, S2, S3 e S4.
Art. 4º Fica vedado o uso de certificado digital de selo eletrônico com propósito de assinatura como manifestação de vontade de pessoa jurídica.
Art. 5º Fica vedada a emissão de certificados digitais destinados à assinatura de código (Code siging) na Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Parágrafo único. Certificados para assinatura de código emitidos até a data de publicação desta Resolução permanecem vigentes até a data de expiração.
Art. 6º Fica dispensada a aderência aos requisitos de princípios e critériosWebtrust Baseline - Code Signinge SSL/TLS, para suas respectivas cadeias de certificação.
Art. 7º Ficam extintos os seguintes OIDs (Object Identifier) da extensão "Subject Alternative Name" do certificado digital:
I - OID = 2.16.76.1.3.5 e conteúdo = nas primeiras 12 (doze) posições, o número de inscrição do Título de Eleitor; nas 3 (três) posições subsequentes, a Zona Eleitoral; nas 4 (quatro) posições seguintes, a Seção; nas 22 (vinte e duas) posições subsequentes, o município e a UF do Título de Eleitor.
II - OID = 2.16.76.1.3.9 e conteúdo = nas primeiras 11 (onze) posições, o número de Registro de Identidade Civil.
III - OID = 2.16.76.1.3.11 e conteúdo = nas primeiras 10 (dez) posições, o cadastro único do servidor público da ativa e militares da União constante no Sistema de Gestão de Pessoal (SIGEPE) mantido pelo Ministério do Planejamento ou nos sistemas correlatos, no âmbito da esfera estadual e do Distrito Federal, e nos Sistemas de Gestão de Pessoal das Forças Armadas.
IV - OID = 2.16.76.1.3.4 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do responsável pelo certificado, no formato ddmmaaaa; nas 11 (onze) posições subsequentes, o Cadastro de Pessoa Física (CPF) do responsável; nas 11 (onze) posições subsequentes, o número de Identificação Social - NIS (PIS, PASEP ou CI); nas 15 (quinze) posições subsequentes, o número do RG do responsável; nas 10 (dez) posições subsequentes, as siglas do órgão expedidor do RG e respectiva UF;
V - OID = 2.16.76.1.3.2 e conteúdo = nome do responsável pelo certificado;
Art. 8º Fica implementado o camposerialNumber(OID 2.5.4.5) noDistinguished Namedo titular do certificado digital de pessoa física, contendo o CPF, e de selo eletrônico, contendo CNPJ, a fim de garantir a unicidade de nome.
Art. 9º O anexo da Resolução CG ICP-Brasil nº 178, de 20 de outubro de 2020, DOC-ICP-03, passa a vigorar com as seguintes alterações:
"2.2.2.1.2 a solicitação de credenciamento deve estar separada por propósito de uso de chave, quais sejam:
i. autenticação de aplicações específicas;
ii. assinatura de documentos e proteção de e-mail (S/MIME) e garantia de origem e integridade; e
iii.assinatura de carimbo do tempo (TimeStamping)." NR
Art. 10. O anexo da Resolução CG ICP-Brasil nº 179, de 20 de outubro de 2020, DOC-ICP-04, passa a vigorar com as seguintes alterações:
"1.1.5 São 10 (dez) os tipos de certificados digitais para usuários finais da ICP-Brasil:
A3
A4 SE-S SE-H T3 T4 AE-S AE-H
A CF-e-SAT OM-BR
1.1.6 Certificados do tipo A3 e A4 são certificados de assinatura e devem ser emitidos exclusivamente para pessoas físicas.
1.1.7 Certificados do tipo SE-S e SE-H são certificados de selo eletrônico, respectivamente em software e em hardware, e devem ser emitidos apenas para pessoas jurídicas.
1.1.8 Certificados do tipo T3 e T4 somente devem ser emitidos para equipamentos das Autoridades de Carimbo do Tempo - ACTs credenciadas na ICP-Brasil. Os certificados do tipo T3 e T4 estão associados aos mesmos requisitos de segurança, exceto pelo tamanho das chaves criptográficas utilizadas.
1.1.9 Certificados do tipo AE-S e AE-H são certificados de aplicações específicas, respectivamente em software e em hardware, e devem ser emitidos pelas ACs para equipamentos, servidores, aplicações e dispositivos IOT.
1.1.10 Certificados do tipo A CF-e-SAT devem ser emitidos apenas para equipamentos integrantes do Sistema de Autenticação e Transmissão do Cupom Fiscal Eletrônico - SAT- CF-e, seguindo a regulamentação do CONFAZ.
1.1.11 Certificados do tipo Objeto Metrológico - OM-BR devem ser emitidos apenas para equipamentos metrológicos regulados pelo Inmetro.
1.1.12 Outros tipos de certificado, além dos anteriormente relacionados, podem ser propostos para a apreciação do Comitê Gestor da ICP-Brasil - CG ICP-Brasil. As propostas serão analisadas quanto à conformidade com as normas específicas da ICP-Brasil e, quando aprovadas, serão acrescidas aos tipos de certificados aceitos pela ICP-Brasil.
1.2 Nome do documento e identificação
1.2.1 Neste item deve ser identificada a PC e indicado, no mínimo, o tipo de certificado a que está associada. Exemplo: "Política de Certificado de Assinatura Digital, tipo A3, do(a)
<nome da instituição>". O OID (Object Identifier) da PC deve também ser incluído neste item.
1.2.2 No âmbito da ICP-Brasil, os OIDs das PCs serão atribuídos na conclusão do processo de credenciamento da AC, conforme a Tabela 3 a seguir:
Tabela 3 - OID de PC na ICP-Brasil
|
Tipo de Certificado |
OID |
|
A3 |
2.16.76.1.2.3.n |
|
A4 |
2.16.76.1.2.4.n |
|
SE-S |
2.16.76.1.2.201.n |
|
SE-H |
2.16.76.1.2.202.n |
|
T3 |
2.16.76.1.2.303.n |
|
T4 |
2.16.76.1.2.304.n |
|
AE-S |
2.16.76.1.2.401.n |
|
AE-H |
2.16.76.1.2.402.n |
|
A CF-e-SAT |
2.16.76.1.2.500.n |
|
OM-BR |
2.16.76.1.2.550.n |
1.3 Participantes da ICP-Brasil
....................................................................................... Usabilidade do Certificado
1.3.1 ....................................................................................................................
.......................................................................................................................................
1.3.1.4 Certificados do tipo A3 e A4 serão utilizados em aplicações como confirmação de identidade e assinatura de documentos eletrônicos com verificação da integridade de suas informações.
1.3.1.5 Certificados do tipo SE-S e SE-H serão utilizados para garantir origem e integridade de um documento eletrônico, servindo de prova da emissão do documento por uma pessoa jurídica.
1.3.1.6 Certificados do tipo T3 e T4 serão utilizados em aplicações mantidas por Autoridades de Carimbo do Tempo credenciadas na ICP-Brasil para assinatura de carimbos do tempo.
1.3.1.7 Certificados do tipo AE-S e AE-H serão utilizados em equipamentos, servidores, aplicações e dispositivos IOT, entre entidades dentro de um ecossistema fechado, onde as autenticações são mútuas e limitadas aos intervenientes conhecidos.
.......................................................................................................................................
1.3.2 ....................................................................................................................
1.3.2.1 É proibido o uso do certificado de aplicações específicas com a finalidade de autenticação de servidor (SSL/TLS) destinado ao reconhecimento confiável pelos navegadores de internet (browsers).
1.3.2.2 É proibido o uso do certificado de selo eletrônico para assinatura digital com o propósito de manifestação de vontade.
1.3.2.3. Neste item devem ser relacionadas, quando cabível, outras aplicações para as quais existem restrições ou proibições para o uso desses certificados.
1.4 Política de Administração
......................................................................................................................................
6.1.1.8 ................................................................................................................
Tabela 4 - Mídias Armazenadoras de Chaves Criptográficas
|
Tipo de Certificado |
Mídia Armazenadora de Chave Criptográfica (Requisitos Mínimos) |
|
SE-S e AE-S |
Repositório protegido por senha e/ou identificação biométrica, cifrado por software na forma definida acima. |
|
A3, A4, SE-H, T3, T4, AE-H e OM-BR |
Hardware criptográfico, homologado junto à ICP-Brasil ou com certificação INMETRO. |
|
A CF-e-SAT |
Hardware criptográfico. |
|
OM-BR |
Hardware criptográfico, homologado junto à ICP-Brasil ou com certificação INMETRO. |
................................................................6.3.2.3..........................................................
Tabela 6 - Períodos de Validade dos Certificados
|
Tipo de Certificado |
Período Máximo de Validade do Certificado (em anos) |
|
SE-S e AE- S |
1 |
|
A3, E-H,AE-H e T3 |
5 |
|
A4 e T4 |
11 (para cadeias hierárquicas completas em Curvas Elípticas) |
|
6 (para as demais hierarquias) |
|
|
ACF-e-SAT |
5 |
|
OM-BR |
10 |
6.4 Dados de Ativação
.....................................................................................................................................
7.1.2 Extensões de certificado
7.1.2.1 Neste item, a PC deve descrever todas as extensões de certificado utilizadas e sua criticalidade, conforme especificado na Tabela de Perfis de Certificado e LCR, Anexo I deste documento.
7.1.2.2 Os camposotherNamedevem estar de acordo com as seguintes especificações:
a) o conjunto de informações definido em cada campootherNamedeve ser armazenado como uma cadeia de caracteres do tipo ASN.1 OCTET STRING ou PRINTABLE STRING;
b) quando os números de CPF, NIS (PIS, PASEP ou CI), RG, CNPJ, CNO ou CAEPF não estiverem disponíveis, os campos correspondentes devem ser integralmente preenchidos com caracteres "zero";
c) se o número do RG não estiver disponível, não se deve preencher o campo de órgão emissor e UF;
d) quando a identificação profissional não estiver disponível, não deverá ser inserido o campo (OID) correspondente, exceto nos casos de certificado digital cuja titularidade foi validada pela AR de conselho de classe profissional;
e) todas as informações de tamanho variável referentes a números, tais como RG, devem ser preenchidas com caracteres "zero" a sua esquerda para que seja completado seu máximo tamanho possível;
f) as 10 (dez) posições das informações sobre órgão emissor do RG e UF referem-se ao tamanho máximo, devendo ser utilizadas apenas as posições necessárias ao seu armazenamento, da esquerda para a direita;
g) apenas os caracteres de A a Z, de 0 a 9, observado o disposto no item 7.1.5.2, poderão ser utilizados, não sendo permitidos os demais caracteres especiais;
h) quando o número da inscrição estadual e o número da inscrição municipal da pessoa jurídica emissora do CF-e-SAT não estiverem disponíveis não precisam ser preenchidos.
7.1.2.3 CamposotherNameadicionais, contendo informações específicas e forma de preenchimento e armazenamento definidas pela AC, poderão ser utilizados com OID atribuídos ou aprovados pela AC Raiz.
7.1.2.4 Os outros campos que compõem a extensão "Subject Alternative Name" poderão ser utilizados, na forma e com os propósitos definidos na RFC 5280.
7.1.2.5 Todas as informações utilizadas para preenchimento dos campos do certificado devem ser verificadas.
7.1.3 ......................................................................................................................
.........................................................................................................................................
7.1.4 Formatos de nome
7.1.4.1 O nome do titular do certificado, constante do campo "Subject", deverá adotar o "Distinguished Name" (DN) do padrão ITU X.500/ISO 9594, conforme especificado na Tabela de Perfis de Certificado e LCR, Anexo I deste documento.
7.1.4.2 Será escrito o nome até o limite do tamanho do campo disponível, vedada a abreviatura.
7.1.5 Restrições de nome
........................................................................................................................................
7.2 Perfil de LCR
........................................................................................................................................
7.2.2 Extensões de LCR e de suas entradas
7.2.2.1 Neste item, a PC deve descrever todas as extensões de LCR utilizadas e sua criticalidade, conforme especificado na Tabela de Perfis de Certificado e LCR, Anexo I deste documento.
7.3 Perfil de OCSP
"NR ......................................................................................................................
...
Anexos e íntegra em https://www.in.gov.br/en/web/dou/-/resolucao-cg-icp-brasil-n-211-de-31-de-outubro-de-2024-593690315
Comentários
Início da Emissão da Cadeia V12
Data: 22 de outubro de 2024
Descrição: A cadeia V12 foi emitida, marcando o começo do processo de transição para as novas políticas e certificados da ICP-Brasil.
Emissão dos Primeiros Certificados de Selo
Estimativa: Segundo trimestre de 2025 (entre março e junho de 2025)
Descrição: Espera-se que os primeiros certificados de selo estejam disponíveis a partir de março de 2025, após ajustes técnicos e distribuição das cadeias de certificação.
Proibição da Emissão de Certificados A1 e A3 na Cadeia V10
Data Limite: 31 de dezembro de 2026
Descrição: A partir desta data, não será mais permitido emitir certificados A1 e A3 na cadeia V10. Serão substituídos pelos novos certificados de aplicações específicas.
Transição para Campos SAN (Subject Alternative Name)
Data Limite: 31 de dezembro de 2028
Descrição: Até essa data, será opcional o uso de alguns campos SAN. Após 2028, campos adicionais (OIDs) não serão mais exigidos como padrão para todos os certificados, mas poderão ser autorizados para usos específicos.
Extinção Completa da Cadeia V5
Data Limite: 2 de março de 2029
Descrição: Após essa data, a cadeia V5 será totalmente desativada, e todos os certificados ainda válidos e emitidos por essa cadeia expirarão ou deixarão de ser aceitos, consolidando a migração completa para a V12.