quarta-feira, 15 de setembro de 2010

Lista de Certificados Revogados (LCR)

"296 - Rejeição: Certificado Assinatura erro no acesso a LCR"  
Existe uma regra de validação na NFe que verifica se o certificado digital utilizado na assinatura do XML não se encontra revogado, sendo necessário acessar a LCR da AC que emitiu o certificado digital. A revogação sempre deverá ser verificada em assinaturas digitais, pois, podem ocorrer por vários fatos, exemplo: perdas e danos(roubo) da senha. 
A LCR encontra-se no seu certificado que também vai na sua assinatura. As ACs disponibilizam normalmente 3 acessos de redundâncias as LCRs, sendo assim é bem difícil que todos os links estejam quebrados.  

Mas então por que acontece a rejeição 296 ? 
A LCR é disponibilizada pelo AC e de sua inteira responsabilidade, a LCR na íntegra é um certificado, aonde existe uma DATA DE EXPIRAÇÃO indicada pela própria AC, geralmente não ultrapassa 2 horas, podendo variar sempre. Quando expirado a LCR a AC deverá disponibilizar outra lista de LCR(o que acontece em atraso). 
A Sefaz para validar o certificado do contribuinte precisa iniciar um contato com a AC para verificar a LCR, nesta operação o certificado da AC geralmente está expirado! gerando o erro "296 - Rejeição: Certificado Assinatura erro no acesso a LCR" na transmissão da NFe, pois a Sefaz não consegue verificar se é válido o certificado devido a LCR estar com uma data antiga a data informada na própria LCR.  
Esta situação pode ser momentânea apesar de já ter vistos casos da AC não disponibilizar a LCR a mais de 4horas! E nesse período, todas as notas são rejeitadas pelo 296.   
Se o problema persistir por muito tempo, poderemos ter dois problemas: 
- A Autoridade Certificadora com algum problema de publicação da LCR ou o que acontece na maioria das vezes a LCR existe e está disponível, porém, está expirada! 
- A Sefaz com problemas de acesso aos links de lcr disponibilizado no certificado, o que acho difícil ocorrer devido a existência de cache e conexões redundantes. Para resolver é necessário contatar a AC e reportar o problema.  
Para simplificar o entendimento:
Erros comuns: 
"A lista de certificados revogados (LCR) do certificado selecionado está indisponível ou expirada. Por favor, tente novamente dentro de alguns instantes. Se o problema persistir, entre em contato com a Autoridade Certificadora que emitiu o certificado"
"Não foi possível determinar a situação da revogação de um ou mais certificados da cadeia do certificado selecionado. Por favor, tente novamente dentro de alguns instantes. Se o problema persistir, entre em contato com a Autoridade Certificadora que emitiu o certificado"  
"296 - Rejeição: Certificado Assinatura erro no acesso a LCR"  
"LCR do Certificado de Assinatura: - Falta o endereço da LCR (CRLDistributionPoint) -Erro no acesso a LCR ou LCR inexistente" - Esse erro é bem difícil, devido todas as ACs já disponibilizarem a lista de LCR.   
O que poderia ser feito para isso não ocorrer mais? "retirando do escopo problemas físicos(rede, servidores)" 
- No caso da Sefaz, aplicação de um cache e tolerância, pois, acesso a lcr existem em todas as validações de assinatura digital, inclusive na TV Digital quando assinada.  - No caso da AC, disponibilizar e gerar a lista de LCR antes de próxima lcr expirar.  
Obs.: Os problemas de 296 devem diminuir até o próximo mês, a sefazes para melhor atender o contribuinte e as ACs em seus serviços, pois correrem o risco de serem descredenciadas caso seus serviços não forem de boa qualidade.  
Glossário 
LCR = Lista de Certificados Revogados

3 comentários:

  1. Já tive varias vezes esse problema com certificados da Caixa, e agora desde sexta feira está ocorrendo esse problema e até agora nada. Ligar no suporte é perda de tempo.

    Engraçado que isso ocorre apenas com os certificados da Caixa, nunca ocorreu com uma Certisign por exemplo.

    Serviço publico é realmente um *

    ResponderExcluir
  2. Parabéns pela publicação. Muito útil a informação e a demonstração do conceito.

    ResponderExcluir
  3. e novamente a caixa deixa os seus clientes na mão, ela cancelou todos os certificados de um ano atras, e o melhor, por exemplo o meu tinha prazo de validade três anos, fiz ano passado, e cheguei na agencia, a atendente me falou que o mais justo, era pra mim esperar ate janeiro, pra mim pagar cem reais, pois esse preço e pq eu fiz a minha ano passado.rsrsrsr isso que é ser justo

    ResponderExcluir