Renovação de certificado digital (a Certisign não se emenda)

Esse blog, de forma involuntária, é verdade, se tornou uma fonte de informações sobre a instalação de certificados digitais no Mac. E já me revoltei aqui contra a Certisign, mais de uma vez.

Infelizmente, passados já quase 3 anos desde que postamos sobre o assunto, os problemas ainda continuam os mesmos.

Pelo menos no que se refere a quem usa Mac e smartcards, ainda não se pode usar a contento os certificados quando o Java é usado para a autenticação (pode ser que com esse programa seja possível, mas a Certisign não o fornece). Instalar os certificados ou renová-los, no Mac, nem pensar.

Portanto, lá fui eu à caça de um computador com Windows, coisa cada vez mais rara hoje em dia. Aliás, esses dias, em uma aula da faculdade, vi que 90% dos alunos usavam Macs. Parece que, se a guerra dos desktops não foi vencida pela Apple, essa vitória é apenas uma questão de tempo.

De posse de um Windows, passo, então, a iniciar o processo de renovação. Devo reconhecer que, hoje, os instaladores da Certisign são bem mais bem feitos. Instalam tudo o que é necessário para fazer os certificados funcionarem – no Windows, repito.

Fiz todos os testes possíveis, até porque a Certisign disponibiliza uma página para testes de certificados. Tudo tranquilo, passo à renovação. Forneço os dados, meu certificado, no processo, é checado, e, enfim, faço o pagamento.

Aí recebo o link para a emissão dos novos certificados, e foi então que a porca torceu o rabo: ao tentar emitir o certificado, recebo o seguinte erro:

“Erro durante criação da CSR: O dispositivo criptográfico não suporta par de chaves de 2048 bits.”

A questão do tamanho das chaves é algo que o usuário comum jamais vai se preocupar, e, em nenhum momento, a Certisign fez essa advertência. Achei que se trataria de algum problema técnico, e fui então pesquisar no site, quando descobrir que os certificados têm, a partir de 2012, tamanho maior. E que os cartões com V2 impresso seriam compatíveis. Como meu cartão é, na verdade, a cédula de identidade da OAB, volto a fazer o teste no site da Certisign, quando percebo que aparece V2 no gráfico que é exibido juntamente com o meu nome. Ou o designer não se apercebeu que outras pessoas podem não ter cartões V2, sendo, portanto, induzidas a erro, ou meu cartão, de fato, suporta o novo padrão.

Quem me responderá será a Certisign. Já mandei um e-mail.

Não quero semear pânico. Mas verifiquem a data de vencimento de seus certificados, e tentem resolver isso até 2 meses antes. O meu vence em 2 semanas. Se eu não conseguir renovar, terei que fazer a renovação presencial, o que será impossível agora, já que estou do outro lado da lagoa… E lembrem-se: qualquer procedimento de renovação leva tempo, e é bom realizar todos os testes. A Certisign parece estar um pouco mais escaldada – percebi que, por exemplo, a não finalização da emissão do certificado não acaba por impedir uma tentativa posterior. Aqui, consegui tentar algumas vezes. Antes, se desse errado, era necessária uma torturazinha básica de horas no call-center da empresa tentando reemitir o certificado.

Mas pode ser que eu tenha dado sorte.

Resumo da ópera:
1 – Ligue para a Certisign antes de renovar. Eu não posso fazê-lo, já que estou no exterior e o custo fica proibitivo, além das diferenças de fuso-horário.
2 – Tente se certificar que o seu dispositivo (cartão ou token) suporta chaves de 2048 bits (pessoa física) ou 4096 (pessoa jurídica). Nota: confesso não entender porque a chave de pessoa jurídica é mais robusta… Dados pessoais deveriam, em tese, ter maior proteção.
3 – Esqueçam o Mac quanto ao que diz respeito à renovação. Não rola.
4 – Atualizem tudo o que puderem no Windows – pelo menos o Java e as chaves da ICP. Tem um instalador no site da Certisign que, fora o Java, instala tudo de uma vez só.

Boa sorte!