Linux Kamarada
Cadê o anúncio que estava aqui?
Parece que você está usando um bloqueador de anúncios. Mas dependemos deles para continuar criando conteúdo gratuito e de qualidade para você. Se você gosta do nosso conteúdo, por favor apoie nosso site desativando seu bloqueador de anúncios. Alternativamente, se você vem aqui com frequência, por favor considere fazer uma doação.
Embora hoje o webmail seja mais popular que o cliente de e-mail, algumas funcionalidades interessantes só são possíveis por meio desse aplicativo. Por exemplo, se você possui um certificado digital, pode assinar os e-mails que envia, conferindo-lhes mais segurança quanto a autenticidade e integridade.
Nesse post, você verá como fazer isso com o cliente de e-mail Mozilla Thunderbird.
Antes, para deixar todo mundo na mesma página, recomendo a leitura de posts anteriores falando sobre certificados digitais e também sobre o Thunderbird:
- Como instalar certificados de segurança no Linux
- Configurando certificado digital no Linux openSUSE
- Sincronizando o Gmail no Thunderbird
O post foi revisado para se aproximar da versão em inglês, mais recente.
Instalando o certificado da AC no Thunderbird
Da mesma forma como fizemos com o navegador Firefox, primeiro temos que adicionar o certificado da nossa Autoridade Certificadora ao cliente de e-mail Thunderbird. Do contrário, ele não conseguirá verificar a hierarquia e validar nosso certificado.
Clique aqui para baixar o certificado de segurança da ICP-Brasil, a AC Raiz brasileira.
Na tela principal do Thunderbird, clique no botão Menu, no canto superior direito da janela, e depois clique em Preferências:
Na caixa de diálogo Preferências do Thunderbird, clique na aba Avançado, depois na aba Certificados e, por fim, no botão Gerenciar certificados:
Na caixa de diálogo Gerenciador de certificados, selecione a aba Autoridades e clique no botão Importar:
Informe o caminho para o certificado que você baixou.
Na caixa de diálogo seguinte, marque as três opções e clique em OK:
Verifique que a ICP-Brasil aparece na lista de autoridades certificadoras:
Clique em OK.
De volta à caixa de diálogo Preferências do Thunderbird, clique em Fechar.
Configurando o token no Thunderbird
Da mesma forma como fizemos com o Firefox, vamos agora cadastrar nosso token como um dispositivo de segurança no Thunderbird.
Para isso, na tela principal, clique no botão Menu e depois no item Preferências.
Na caixa de diálogo Preferências do Thunderbird, clique na aba Avançado, depois na aba Certificados e, por fim, no botão Dispositivos de segurança:
Na caixa de diálogo Gerenciador de dispositivos, clique em Carregar:
Na caixa de diálogo seguinte, em Nome do módulo, digite um nome que identifique o token (por exemplo, eToken).
No campo Nome do arquivo do módulo, informe o caminho para a biblioteca do token:
- se seu token foi reconhecido pelo OpenSC, informe
/usr/lib64/opensc-pkcs11.so; - se você instalou o SafeNet Authentication Client (meu caso), informe
/usr/lib64/libeToken.so; - para outros tokens, siga as instruções fornecidas pela fabricante ou certificadora.
Quando terminar, clique em OK:
Observe que o token é adicionado à lista de Dispositivos e módulos de segurança:
Clique em OK.
De volta à caixa de diálogo Preferências do Thunderbird, clique em Fechar.
Configurando a assinatura digital no Thunderbird
O próximo passo é configurar o Thunderbird para assinar os e-mails que enviamos a partir da nossa conta com o nosso certificado.
Na tela principal do Thunderbird, clique no botão Menu, aponte para Preferências e clique em Configurações de conta:
No painel da esquerda, dentro das opções da conta, selecione Segurança e à direita, dentro de Assinatura digital, clique em Selecionar:
Informe a senha PIN do token e clique em OK:
Selecione o Certificado a ser usado para assinatura e clique em OK:
Como o objetivo é configurar a criptografia apenas para o envio, e não para a resposta, clique em Não:
De volta à caixa de diálogo Configurar contas, caso deseje sempre assinar digitalmente os e-mails que envia, marque a opção Assinar mensagens digitalmente (por padrão).
Por fim, clique em OK para voltar à tela principal do Thunderbird.
A assinatura digital está configurada e pronta para ser usada.
Enviando e-mails com assinatura digital
Na tela principal do Thunderbird, clique no botão Nova msg:
Como de costume, preencha os campos De, Para e Assunto e redija a mensagem.
Antes de enviar, certifique-se de que a opção Assinar digitalmente, dentro do menu Segurança, está marcada (se você marcou aquela opção nas configurações da conta, essa opção já deve vir marcada por padrão):
Quando terminar, clique em Enviar agora.
O Thunderbird solicita o PIN do token para assinar a mensagem no momento do envio:
Verificando a assinatura digital de e-mails recebidos
Se o destinatário usa o Thunderbird, ele pode verificar a assinatura digital da mensagem:
Pode ser que o Thunderbird não reconheça a assinatura, exibindo A assinatura digital não é válida:
Se isso acontecer, é sinal que o destinatário não conhece o certificado da sua Autoridade Certificadora. Oriente-o instalar esse certificado, seguindo as instruções presentes nesta página. Feito isso, ao voltar à aba da mensagem, perceberá que a assinatura é reconhecida.
Se o destinatário utiliza o webmail, pode ser que o webmail possibilite verificar a assinatura da mensagem, como o Gmail, por exemplo, possibilita:
Note que o Gmail também não reconhece a assinatura, muito provavelmente pelo mesmo motivo: não conhece o certificado da ICP-Brasil. Infelizmente, a solução definitiva para isso demandaria ao Google instalar esse certificado em seus servidores.
Ainda assim, o Gmail te possibilita, clicando em Informações do remetente, baixar o certificado do remetente:
Com isso, você pode verificar o certificado você mesmo:
Um bug do Thunderbird
Ao tentar enviar um e-mail com assinatura digital, você pode se deparar com um bug do Thunderbird:
Em vez de assinar e enviar o e-mail, o Thunderbird mostra a seguinte mensagem de erro:
Erro de envio de mensagem. Falha ao enviar a mensagem. Você especificou que esta mensagem deve ser assinada digitalmente. Entretanto ou o certificado está com a validade vencida ou o aplicativo não encontrou o certificado de assinatura especificado em suas configurações de contas.
Esse bug foi corrigido no Thunderbird 69.0 (versão regular) e 60.7.1 (versão com suporte estendido, ESR). Esse último foi disponibilizado para os usuários do openSUSE Leap 15.1 por meio de uma atualização de segurança.
Se você foi afetado por esse bug, verifique se há atualizações disponíveis para o seu sistema. Para mais informações, leia:
Referência
