A atividade de emissão de certificados TLS/SSL está sujeito a um complexo esquema regulatório, sendo amplamente escrutinada, com auditorias externas e independentes periódicas, reporte público de incidentes e discussão pela comunidade em fóruns.

Após a análise do histórico de incidentes nos últimos anos de toda a PKI administrada pela Camerfirma, a Google e Mozilla decidiram bloquear a CA raiz da Camerfirma em futuras releases dos seus browsers.

Os certificados TLS/SSL da Multicert são emitidos por uma CA operada pela Multicert que se encontra na cadeia de certificação da CA raiz da Camefirma e que proporciona reconhecimento nos principais browsers e sistemas operativos. Ao bloquear a CA da Camerfirma, os utilizadores de Chrome versão 90 e Firefox 88 que naveguem em sítios web com certificados Multicert vão receber uma mensagem de alerta.

Não, apenas os certificados TLS/SSL OV da Multicert são afetados, habitualmente utilizados para proteção de websites e serviços web disponibilizados por HTTPS. Todos os restantes certificados Multicert não são afetados, nomeadamente os certificados qualificados eIDAS e os certificados pessoais de autenticação.

À data não foram anunciados impactos noutros browsers.

Não, excepto se explicitamente solicitado pelo cliente ou por obrigações decorrentes do enquadramento regulatório ou contratual. Há um conjunto alargado de casos de uso em que os certificados TLS/SSL da Multicert poderão continuar a ser utilizados. Ver mais informações na questão #6.

Depende do seu caso de uso, mas em geral recomenda-se a troca do certificado. Para apoio à decisão, destacamos alguns casos de uso:

• Sítios web de acesso generalizado: aconselhamos a troca do certificado porque em termos globais cerca de 70% dos utilizadores usam Chrome ou Firefox.

• Sítio web com acesso restrito a um conjunto limitado e homogéneo de utilizadores dentro e fora da organização (p.e. extranet): no curto prazo poderá não ser necessário trocar o certificado se os seus utilizadores puderem usar um outro browser (p.e. Safari, Edge, Opera). Se eventualmente os restantes navegadores procederem ao distrust, deverá trocar o certificado.

• Sítio web de acesso exclusivamente corporativo (p.e. intranet): pode continuar a usar o mesmo certificado se puder instalar e distribuir a CA raiz Multicert nas truststores dos dispositivos de acesso.

• Sítios web exclusivamente com serviços de APIs Web: em princípio não será necessário uma vez que as aplicações cliente terão truststores (listas das CAs confiáveis) definidas manualmente, não sendo portanto afetadas. No entanto, deverá confirmar esta informação com os fornecedores das aplicações cliente dos seus serviços web.

• App mobile com certificate pinning ao certificado TLS/SSL: em princípio não será afetada uma vez que o certificado não será revogado. No entanto, deverá avaliar cuidadosamente a situação com a equipa de desenvolvimento responsável e/ou com o fornecedor do toolkit de certificate pinning. Alertamos ainda para o facto do certificate pinning ser um mecanismo desaconselhado em geral, uma vez que dificulta a substituição rápida de certificados, obrigatória pelas regras dos certificados TLS/SSL (24h para incidentes de segurança ou 5 dias para erros na emissão).

A Multicert está a informar diretamente os clientes e parceiros. Se é cliente de certificados TLS/SSL OV Multicert e não recebeu nenhuma informação até ao momento, solicitamos que entre em contacto connosco pelos meios publicados em Contactos.