Atualização crítica da cadeia de certificados do ITI

Prezados,

no início do ano o ITI adicionou três novas autoridades certificadoras à sua lista de confiança, com isso o CNJ disponibilizou um novo documento com a lista completa dessas autoridades certificadoras no arquivo intermediarias.zip, que pode ser obtido no endereço: http://ftp.cnj.jus.br/pje/intermediarias.zip.

No entanto, nessa última atualização o ITI adicionou duas novas autoridades certificadoras:

- Autoridade_Certificadora_Raiz_Brasileira_v6;

- Autoridade_Certificadora_Raiz_Brasileira_v7.

Estas autoridades certificadoras necessitam de um novo algoritmo de validação e a bilioteca utilizada pelo PJe para fazer a validação dos certificados não possui uma versão oficial para tratar esse novo algoritmo. Com isso quando a lista do arquivo intermediarias.zip era atualizada o PJe do tribunal parava de validar qualquer certificado.

Trabalhamos no CNJ para resolver esse problema e chegamos ao seguinte roteiro que foi aplicado na versão nacional:

- Houve mudança na biblioteca icpbr-util e de duas das suas dependências do bouncycastle: bcprov e bcpkix. Essas alterações não possuem um pacote oficial do bouncycastle (e não estão disponíveis nos repositórios maven globais), por isso, disponibilizamos no repositório maven do CNJ (http://www.cnj.jus.br/artifactory), já padrão do sistema;

- Atualizamos também o icpbr-util para fazer um melhor tratamento da validação dos certificados e impedir que uma nova cadeia disponibilizada no ITI que esteja com um formato desconhecido bloqueie a validação de certificados com as cadeias já existentes;

- Atualizamos o pom.xml do PJe para utilizar a nova versão do icpbr-util (versão 1.0.15b);

Essas alterações serão disponibilizadas na próxima versão oficial do PJe Nacional (2.0.2.0). Enquanto isso, recomendamos fortemente que os tribunais apliquem as mesmas alterações às suas versões locais, segue o passo-a-passo:

1. Antes de qualquer coisa, atualizar o arquivo intermediarias.zip, de acordo com o arquivo disponibilizado em (http://ftp.cnj.jus.br/pje/intermediarias.zip): - https://git.cnj.jus.br/pje/pje/blob/master/pje-web/src/main/resources/META-INF/intermediarias.zip.

2. se a versão for anterior à 2.0.1.0, é necessário aplicar os seguintes commits que estão no branch master do PJe - estas alterações são necessárias pois houve alterações críticas nas bibliotecas do bouncycastle -, identificadores dos commits: c445cc7c e bd0c6ea4:

- https://git.cnj.jus.br/pje/pje/commit/c445cc7c; e

- https://git.cnj.jus.br/pje/pje/commit/bd0c6ea4

3. atualizar o pom.xml do PJe, onde estiver:

<dependency>

<groupId>br.jus.cnj</groupId>

<artifactId>icpbr-util</artifactId>

<version>1.0.14</version>

</dependency>

Para:

<dependency>

<groupId>br.jus.cnj</groupId>

<artifactId>icpbr-util</artifactId>

<version>1.0.15b</version>

</dependency>

4. Fazer o build do PJe e subir a aplicaçção.

Como verificar se as alterações funcionaram?

- Para identificar se as alterações funcionando, tente fazer o login com um certificado digital.