Jefferson, 
20 de março de 2020, 
O cliente ligou dizendo que o pessoal dele estava há horas apanhando para fazer um cadastro importante e que eu precisava ajudar com urgência porque o prazo deles estava acabando. Chegando lá constatei que eles estavam tentando acessar o SICAF do comprasnet usando o serviço de identificação .gov.br mas nenhum navegador instalado exibia o certificado instalado na máquina. A primeira coisa que fiz foi testar se era só um problema do .gov.br usando os testes da Certisign e da Serasa mas o problema persistiu.
O motivo número um para isso acontecer é o certificado estar vencido, mas não era o caso. Ao ver o nome da agência certificadora do certificado, AC DIGITALSIGN RFB (RFB me saltou aos olhos como a sigla da Receita Federal do Brasil), desconfiei de que tivesse algo a ver com a cadeia de certificação. Pesquisando pelo nome cheguei a esta página. Instalei os três certificados no formato .p7b oferecidos, reiniciei o navegador e o problema foi resolvido.
Nesse ponto eu preciso reclamar do estado primitivo, absolutamente hostil ao usuário, em que ainda se encontra o suporte a certificados nos navegadores. Eu sou técnico e só levei alguns minutos para desconfiar que o problema tivesse a ver com a cadeia de certificação, mas a atitude dos navegadores de simplesmente não exibir o certificado “inválido” é desconcertante até para mim. Imagine o usuário comum quando se depara com isso. Eu não tenho conhecimento de como a coisa toda funciona, mas exibir todos os certificados e não deixar o usuário selecionar os inapropriados já seria de grande ajuda. Explicar o motivo seria ainda melhor.
Mas parece que é pedir muito.
Trabalhei muito com problemas de tokens do BB, SERASA, TJ e assemelhados, e sempre surge problemas bizarros.
O problema é tipicamente brasileiro, pra variar. Existe um post que ficou aberto DOZE ANOS no bugzilla do Firefox, discutindo como validar certificados lixosos de entidades brasileiras. Enquanto a brasileirada era a favor do “valida de qualquer jeito” o pessoal do Firefox queria as coisas de acordo com padrões internacionais de qualidade e organização. O resultado foi que fecharam o post sem aceitar a lambança brasileira de certificados.
O post é este, tem partes que é rir pra não chorar de ineficiência https://bugzilla.mozilla.org/show_bug.cgi?id=438825
Eu só li a primeira dúzia de comentários mas já deu para ter uma idéia do problema.
Brasileiros: Estas são as autoridades certificadoras brasileiras. O firefox precisa incluir a cadeia de certificação delas em uma atualização
Firefox: Precisamos de uma carta dos responsáveis pelas entidades confirmando que as mesmas foram auditadas de acordo com o estabelecido nas RFCs tal e tal
Eu: f**eu
Igual ao Vitor, também já trabalhei com suporte a certificação digital, é cada história. Se já é complicado para nós técnicos imagina para um usuário leigo que precisa fazer uma assinatura digital.
Na sua opinião, o que é necessário para um certificado digital ICP-Brasil se tornar “plug-and-play”?
Obrigado
As certificadoras raiz brasileiras terem um canal de comunicação com os desenvolvedores de navegadores já praticamente resolveria o problema. Mas parece que elas tem uma atitude arrogante do tipo ¨representamos um país de 200 milhões de habitantes e os desenvolvedores que tem que vir até nós¨.