Linux Kamarada

Como instalar certificados de segurança no Linux

Já foi pego de surpresa ao acessar um site e ser alertado pelo navegador de que não é seguro? O que fazer ao acessar um site do governo brasileiro e ver uma mensagem dessas?

Entenda o que acontece

Quando você visita um site que usa conexão segura (endereço começando com https), sua comunicação é criptografada para ajudar a garantir sua privacidade. Antes de iniciar a comunicação criptografada, o site apresenta ao navegador um certificado de segurança para se identificar (como se fosse um documento de identidade, um RG).

Qualquer um pode criar um certificado afirmando ser quem quiser. Mas normalmente certificados de sites são emitidos e assinados por autoridades certificadoras (ACs), que também possuem seus próprios certificados. Por sua vez, os certificados das ACs podem ser autoassinados (no caso de uma AC interna de uma empresa) ou assinados por outras ACs, e assim sucessivamente até chegar em uma autoridade certificadora raiz (AC raiz). Essa cadeia de certificados é chamada de hierarquia de certificados.

Autoridades certificadoras raiz são organizações públicas, conhecidas e seguras. No Brasil, por exemplo, a AC raiz é a ICP-Brasil. Normalmente os navegadores conhecem de antemão os certificados das ACs raiz (veremos a seguir que a AC raiz brasileira é uma exceção).

Quando você visita um site HTTPS, o navegador verifica se o certificado apresentado por ele é válido e se pertence a uma hierarquia de certificados que termina em um certificado de uma AC conhecida. Se essa validação passa, o navegador mostra um ícone de cadeado verde perto da barra de endereço, indicando que o site que você está visitando é de fato o site que afirma ser. É seguro permanecer nele, digitar senhas, fornecer dados de cartões de crédito e enviar ou receber outros dados pessoais. Sempre procure pelo ícone do cadeado verde quando acessar um netbanking ou um site de compras, por exemplo.

Quando você visita um site HTTPS mas o navegador não consegue verificar o certificado do site, ele apresenta um alerta de que a conexão não é segura ou privada. Se isso acontecer, você deve agir com cautela: não forneça dados pessoais a esse site. Se possível, saia dele.

Às vezes, a conexão não é de fato insegura. Alertas de segurança podem aparecer, por exemplo, quando você acessa um sistema web da empresa ou órgão onde trabalha, assinado por uma AC interna, cujo certificado não é conhecido pelo navegador. Nesse caso, você precisa instalar manualmente o certificado da AC interna para prevenir falsos alertas.

Também é comum aparecer alertas de privacidade ao visitar sites do governo brasileiro. Os navegadores não vem com o certificado da ICP-Brasil porque ele não atende aos requisitos de segurança da Fundação Mozilla, um bug que já se arrasta por 11 anos. Por isso, é necessário instalar o certificado da ICP-Brasil manualmente. Alguns órgãos públicos tem adotado soluções de contorno: o site da Polícia Federal, por exemplo, tem os formulários (por exemplo, o de emissão de passaporte) assinados pela AC Let’s Encrypt, mas páginas que possuem apenas conteúdo (inclusive a própria página inicial do site da PF) sequer são assinadas. A Let’s Encrypt é uma ONG norte-americana que emite certificados de graça para qualquer pessoa e é conhecida pelos navegadores.

Instale o certificado da AC

Vejamos como adicionar o certificado da AC aos navegadores Mozilla Firefox e Google Chrome, para que eles confiem nos certificados assinados pela AC. O passo-a-passo para o Google Chrome também valem para seu equivalente de código-aberto, o Chromium.

Vou usar como exemplo o SIGEPE, um sistema do governo brasileiro que servidores públicos federais acessam para consultar seu contracheque e fazer solicitações de RH. Vamos adicionar o certificado da AC raiz brasileira, a ICP-Brasil, de modo que os navegadores parem de exibir alertas de segurança para os sites do governo.

Primeiro, clique aqui para baixar o certificado de segurança da AC raiz brasileira.

Você pode usar as mesmas instruções a seguir para instalar o certificado da AC interna da sua organização. Nesse caso, consulte o administrador da rede para obtê-lo.

Mozilla Firefox

Abra o menu do Firefox (canto superior direito da janela) e selecione Preferências:

Selecione Privacidade e Segurança à esquerda e clique no botão Ver Certificados à direita, ao final da página:

Na caixa de diálogo Gerenciador de certificados, selecione a aba Autoridades e clique no botão Importar:

Procure pelo certificado da AC que você quer importar.

Marque todas as opções para confiar completamente no certificado e clique em OK:

Clique em OK na caixa de diálogo Gerenciador de certificados e feche a aba Preferências.

Atualize a página que estava tentando visitar (no nosso exemplo, o SIGEPE) e você perceberá na barra de endereço o cadeado verde, indicando que a conexão é segura:

Google Chrome

Abra o menu do Chrome (canto superior direito da janela) e selecione Configurações:

No campo Pesquisar nas configurações, digite certificados. O Google Chrome filtra as opções relacionadas. Clique em Gerenciar certificados:

Selecione a aba Autoridades e clique no botão Importar:

Procure pelo certificado da AC que você quer importar.

Marque todas as opções para confiar completamente no certificado e clique em OK:

Feche a aba Configurações.

Atualize a página que estava tentando visitar (no nosso exemplo, o SIGEPE) e você perceberá na barra de endereço o cadeado verde, indicando que a conexão é segura:

Referências

Gostou? Que tal compartilhar?

Me paga um café?
Se você gostou muito, se foi muito útil pra você, será que vale um café? Se quiser, você pode "me pagar um café" pelo PayPal ou contribuir com o projeto de outras formas.

Comentários

Sobre

O Projeto Linux Kamarada visa divulgar e promover o Linux como um sistema operacional robusto, seguro, versátil e fácil de usar, adequado para o uso diário seja em casa, no trabalho ou no servidor. Os focos do projeto são principalmente distribuição e documentação.

Facebook

Autor