Esclarecimentos sobre o comunicado emitido pela SEFAZ de Pernambuco para contribuintes que utilizam webservices do Portal GNRE – Segurança de Ambientes
No dia 18 de junho de 2021, a Secretaria da Fazenda de Pernambuco comunicou a todos os usuários do serviço GNRE que seriam tomadas medidas técnicas para proteger a confidencialidade e integridade da comunicação https, no sentido de remover o suporte aos protocolos obsoletos SSL2, SSL3, TLS 1.0 e TLS 1.1 em sessões seguras dos web services do Portal GNRE (https://www.gnre.pe.gov.br/gnreWS/services).
Disponibilização do Protocolo TLS 1.2
Em 13/07/2021, foi disponibilizado apenas o protocolo TLS 1.2 para sustentar as sessões seguras do GNRE, com os seguintes requisitos obrigatórios:
1) Serão utilizadas apenas as cifras AES 256 ou 384 bits, com modo de cifragem GCM. Não haverá suporte às cifras DES, RC2, RC4, 3DES.
2) Será utilizado apenas o protocolo ECDH para troca inicial de chaves da sessão https. Não haverá suporte ao protocolo RSA para essa finalidade.
3) Os hashes para assinatura dos blocos de cifragem serão de no mÃnimo 256 bits.
Em sÃntese, a SEFAZ disponibilizou o serviço GNRE com protocolo TLS 1.2 nas seguintes configurações:
- a) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- b) TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Atualmente, o conjunto de cifras acima representa a forma mais segura para proteger a confidencialidade e integridade da sessão https.
A SEFAZ de Pernambuco solicitou aos usuários, diante do exposto, que adequem os serviços consumidores do GNRE, a fim de prover suporte ao protocolo TLS 1.2, na configuração supracitada. A partir de 13/07/2021, os protocolos obsoletos não são mais admitidos, e as conexões que as utilizam são negadas no ambiente de Produção.
O ambiente de testes do Portal GNRE passou por esta atualização em 02/07/2021 e deixou de suportar os protocolos obsoletos mencionados.
Sugere-se à equipe técnica responsável pela sustentação do serviço consumidor do GNRE a diagnosticá-lo por meio da página do SSLLabas, ou por meio de utilitários especÃficos para essa necessidade. O resultado revelará quais protocolos estão sendo utilizados, obsoletos ou não.
Finalmente, a SEFAZ esclarece que o suporte às cifras seguras é provido pelo sistema operacional que sustenta a aplicação consumidora do GNRE, e que, em regra, sistemas operacionais obsoletos ou sem suporte do fabricante não dispõem do protocolo TLS 1.2 na configuração informada, sendo necessário muitas vezes atualizar o sistema operacional para dispor da configuração adequada.
Fonte: Gestor Nacional do GNRE – Secretaria da Fazenda do Estado de Pernambuco
Parecer TecnoSpeed
No presente momento, os servidores da GNRe já forçam o uso do TLS 1.2, negando conexões feitas com TLS 1.0 ou 1.1.
Nosso método de mensageria (Wininet) é compatÃvel com o TLS 1.2 para o Windows 7 em diante. Já para versões anteriores, é necessário utilizar o método SBB (componente SecureBlackBox HTTP) configurando no arquivo .ini HttpLibs=sbb.
Para nossos clientes, a única ação necessária é verificar se o sistema operacional já está com o TLS 1.2 ativado. Caso a resposta seja positiva, nenhuma outra ação precisará ser realizada, caso contrário, nosso link com o conteúdo de suporte a canais seguros o ajudará nessa configuração 👇:
Quer ficar atualizado sobre o universo fiscal no desenvolvimento de software?
Conheça o Café com o contador. Nesta transmissão, você pode tirar dúvidas ao vivo com os especialistas e consultores tributários e ainda manter-se atualizado sobre as novidades fiscais que impactam uma software house!
Não perca tempo e faça agora a sua inscrição para ser notificado sobre os novos materiais do universo fiscal e tributário.
Nesse canal, você, desenvolvedor, compreenderá todas as regras e novidades sobre os documentos fiscais eletrônicos necessárias para manter seu software sempre atualizado.
