Lista de Certificados Revogados (LCR)

"296 - Rejeição: Certificado Assinatura erro no acesso a LCR"  

Existe uma regra de validação na NFe que verifica se o certificado digital utilizado na assinatura do XML não se encontra revogado, sendo necessário acessar a LCR da AC que emitiu o certificado digital. A revogação sempre deverá ser verificada em assinaturas digitais, pois, podem ocorrer por vários fatos, exemplo: perdas e danos(roubo) da senha. 

A LCR encontra-se no seu certificado que também vai na sua assinatura. As ACs disponibilizam normalmente 3 acessos de redundâncias as LCRs, sendo assim é bem difícil que todos os links estejam quebrados.  

Mas então por que acontece a rejeição 296 ? 

A LCR é disponibilizada pelo AC e de sua inteira responsabilidade, a LCR na íntegra é um certificado, aonde existe uma DATA DE EXPIRAÇÃO indicada pela própria AC, geralmente não ultrapassa 2 horas, podendo variar sempre. Quando expirado a LCR a AC deverá disponibilizar outra lista de LCR(o que acontece em atraso). 

A Sefaz para validar o certificado do contribuinte precisa iniciar um contato com a AC para verificar a LCR, nesta operação o certificado da AC geralmente está expirado! gerando o erro "296 - Rejeição: Certificado Assinatura erro no acesso a LCR" na transmissão da NFe, pois a Sefaz não consegue verificar se é válido o certificado devido a LCR estar com uma data antiga a data informada na própria LCR.  

Esta situação pode ser momentânea apesar de já ter vistos casos da AC não disponibilizar a LCR a mais de 4horas! E nesse período, todas as notas são rejeitadas pelo 296.   

Se o problema persistir por muito tempo, poderemos ter dois problemas: 

- A Autoridade Certificadora com algum problema de publicação da LCR ou o que acontece na maioria das vezes a LCR existe e está disponível, porém, está expirada! 

- A Sefaz com problemas de acesso aos links de lcr disponibilizado no certificado, o que acho difícil ocorrer devido a existência de cache e conexões redundantes. Para resolver é necessário contatar a AC e reportar o problema.  

Para simplificar o entendimento:

Erros comuns: 

"A lista de certificados revogados (LCR) do certificado selecionado está indisponível ou expirada. Por favor, tente novamente dentro de alguns instantes. Se o problema persistir, entre em contato com a Autoridade Certificadora que emitiu o certificado"

"Não foi possível determinar a situação da revogação de um ou mais certificados da cadeia do certificado selecionado. Por favor, tente novamente dentro de alguns instantes. Se o problema persistir, entre em contato com a Autoridade Certificadora que emitiu o certificado"  

"296 - Rejeição: Certificado Assinatura erro no acesso a LCR"  

"LCR do Certificado de Assinatura: - Falta o endereço da LCR (CRLDistributionPoint) -Erro no acesso a LCR ou LCR inexistente" - Esse erro é bem difícil, devido todas as ACs já disponibilizarem a lista de LCR.   

O que poderia ser feito para isso não ocorrer mais? "retirando do escopo problemas físicos(rede, servidores)" 

- No caso da Sefaz, aplicação de um cache e tolerância, pois, acesso a lcr existem em todas as validações de assinatura digital, inclusive na TV Digital quando assinada.  - No caso da AC, disponibilizar e gerar a lista de LCR antes de próxima lcr expirar.  

Obs.: Os problemas de 296 devem diminuir até o próximo mês, a sefazes para melhor atender o contribuinte e as ACs em seus serviços, pois correrem o risco de serem descredenciadas caso seus serviços não forem de boa qualidade.  

Glossário 

LCR = Lista de Certificados Revogados

A Certisign para a NFe não é uma AC-Raiz

No Brasil, a única AC-RAIZ das autoridades certificadoras em atividade, denomina-se ICP-Brasil.
Apesar da Certisign ser conhecida internacionalmente ao emitir NFe, a AC-Raiz Certisign passa para AC não raiz. Isso deve-se ao fato da especificação clara na NFe que o certificado digital deve corresponder pela RAIZ única e exclusiva ICP-Brasil.

Ao comprar um certificado Certisign para NFe, não será um certificado internacional, sendo válido apenas pela validade jurídica brasileira. Só porque é internacional não diz nada, aconselho a utilizarem os produtos brasileiros adquirindo um certificado digital das nossas ACs.

ICP-Brasil ( http://www.icpbrasil.gov.br ), com sede em Brasília/DF desde 2001, garante validade jurídica brasileira aos atos praticados com o uso de seus certificados. O ITI tem como sua principal linha de ação a popularização da certificação digital e a inclusão digital.

Certisign ( http://www.certisign.com.br ), com sede no Rio de Janeiro desde 1996, é uma Autoridade Certificadora no mercado brasileiro operando em múltiplas hierarquias, como ICP-Brasil, VeriSign Trust Network (VTN) e Privada.

Problemas em utilizar uma Raiz não sendo ICP-Brasil
Ao enviar a NFe ao sistema da SEFAZ o emissor receberá o erro "285 - Rejeição: Certificado Transmissor difere ICP-Brasil"

Autoridades Certificadoras internacionais mais conhecidas
* VeriSign, Inc. [ www.verisign.com ]
* Thawte Certification. [ www.thawte.com ]
* Xcert Sentry CA. [ www.xcert.com ]
* Entrust. [ www.entrust.net ]
* Cybertrust. [ www.baltimore.com ]
* BelSign [ www.belsign.be ]
* Internet Publishing Services [ www.ips.es ]

Autoridades Certificadoras nacionais
* Serpro [ www.serpro.gov.br ]
* CEF [ icp.caixa.gov.br ]
* Serasa [ www.certificadosdigitais.com.br ]
* Receita Federal [ www.receita.fazenda.gov.br ]
* Presidência da República [ thor.serpro.gov.br ]
* Justiça [ www.acjus.gov.br ]
* Imprensa Oficial [ www.imprensaoficial.com.br ]
e claro a Certisign... (www.certisign.com.br www.certisign.com)

Glossário
NFe = Nota Fiscal Eletrônica