Integração com SerasaExperian ID
Opened this issue · 5 comments
O serviço: https://identific.certificadodigital.com.br/home
O repositório: https://github.com/serasaexperian-eid/eauth-identific-java-sample
A demanda:
- De que forma incluir o Certificado Digital como uma ferramenta do LoginCidadão?
Pessoal, qualquer dúvida, nós aqui da Serasa Experian estamos à disposição para facilitar a integração. SolucoesCD@br.experian.com
@mvsgodinho viu aqui @gdnt0 ?
Mostrei o projeto de vocês aqui pros diretores. Eles ficaram muito empolgados! Eles disponibilizaram uma consultoria gratuita para apoio da integração :)
Com o certificado digital os serviços providos através do Login Cidadão teriam o grau máximo de respaldo relativo à identidade do usuário. Possibilitando a liberação de serviços que hoje necessitam de uma assinatura física do cidadão para o mundo digital. Recursos de multas, alterações cadastrais, regularização de dívidas.
Vamos marcar um papo e evoluir nessa integração? Nos enviem um email com os seus contatos, por favor. Abraços!
SolucoesCD@br.experian.com ou Marcos.Godinho@br.experian.com
@uira não me parece nada interessante passar os dados dos usuários do LC por terceiros sem nenhum motivo claro e forte o suficiente para tal... Login via Certificado Digital não precisa ter envolvimento de terceiros.
Basta um endpoint usando TLS Client Certificate com ICP-Brasil. O problema todo dessa situação é no uso em si de ICP-Brasil que é uma cadeira extremamente não-confiável e com sérios problemas de auditoria conforme aquela icônica thread da Mozilla deixou evidente.
A menos que o ITI mude radicalmente suas políticas e postura e leve certificação digital a sério, no que depender de mim, o código "community" do Login Cidadão jamais vai tocar essa cadeia de certificados.
Como exemplo cito que estamos nesse momento com problemas em certificados ICP-Brasil que sequer possuem registros de Certificate Transparency, algo que qualquer Let's Encrypt tem gratuitamente.
Olá, @guilhermednt . Concordo contigo que a ICP-Brasil fez muita cagada no início de sua história. Mas hoje é uma das PKIs mais seguras do mundo e possui mais de 6 milhões de certificados emitidos, praticamente todas as empresas do Brasil. O indice de fraudes é de 0,0032% (112 tentativas no último período).
"Basta um endpoint usando TLS Client Certificate com ICP-Brasil": é claro que vocês tem condições de implementar uma solução análoga ao Serasa Identific. Mas a validação completa feita no certificado (CRLs, validade, cadeias de confiança) e a extração dos dados de CPF, CNPJ, RG, Data de Nascimento, etc requer um certo investimento em desenvolvimento.
"aquela icônica thread da Mozilla": Essa questão tem 10 anos e foi mais comercial do que técnica. o ITI achava que ia entrar na cadeia confiável com carteirada. Hoje a V5 da ICP-Brasil é WebTrust e presente nos principais browsers.
"menos que o ITI mude radicalmente suas políticas e postura e leve certificação digital a sério": Hoje pra você emitir um certificado ICP-Brasil é necessário uma validação presencial muito rigorosa com identificação biométrica, coleta e dupla validação de documentos. Além de auditorias rigorosas anualmente das ACs.
Sobre Certificate Transparency, na verdade não é um mecanismo ideal de segurança e é fácilmente burlável, ao contrário da validação presencial executada pelas ARs ICP-Brasil: https://cryptoid.com.br/banco-de-noticias/certificate-transparency-fim-da-falsidade-de-certificados/
Enfim, não acho a nossa infraestrutura Brasileira oficial perfeita, mas ela é bem segura sim. E já revolucionou muitos processos no país. Principalmente na parte de arrecadação e no judiciário. Acho que devemos brigar, sugerir melhorias, avanços. Simplesmente boicotar não auxilia no processo de evolução.
Abraços!