Pesquisar na Comunidade

Pessoal, O Banco do Brasil publicou em seu portal uma atualização sobre a troca de certificados nas APIs (mTLS), o que tem gerado algumas dúvidas. Segue um resumo simples e direto com o que realmente importa. O prazo de validade dos certificados TLS está sendo reduzido globalmente, conforme decisão do CA/Browser Fórum. A mudança ocorrerá de forma gradual: Validade de 200 dias para certificados emitidos a partir de 15/03/2026 Validade de 100 dias para certificados emitidos a partir de 15/03/2027 Validade de 47 dias para certificados emitidos a partir de 15/03/2029 Leia a notícia na integra ( também contém o link de downlod ) aqui: Home - Portal de Apoio ao Desenvolvedor BB O que está acontecendo? Não é erro de navegador, Windows ou bug do BB. Trata-se de uma mudança global de segurança (TLS/SSL) definida pelo mercado, voltamos a citar conforme decisão do CA/Browser Fórum. Certificados agora têm validade menor O BB passará a trocar os certificados com mais frequência Isso afeta diretamente integrações com APIs Se não atualizar, sua aplicação pode parar de funcionar. Qual é o impacto? Se sua aplicação não estiver preparada: Falha na conexão HTTPS/mTLS Erros de certificado (SSL handshake, verify failed, etc.) APIs deixam de responder APIs que exigem certificado Algumas APIs do Banco do Brasil utilizam o protocolo mTLS (Mutual TLS) como camada adicional de segurança. Nessas APIs, além do uso de HTTPS, sua aplicação precisa apresentar um certificado digital próprio para que a conexão seja aceita. Abaixo você encontra a lista das APIs que exigem mTLS: Pagamentos em Lote Pix Extratos Serviços de Arrecadação BB Pay Débitos Veiculares PagBB Fundos de Investimento BB Pay Arrecadação Autorização de Débito Automático Fonte: Home - Portal de Apoio ao Desenvolvedor BB O que precisa ser feito? Regra principal Sempre adicionar o novo certificado ANTES de remover o antigo Download ( Home - Portal de Apoio ao Desenvolvedor BB ) prazo de validade dos certificados TLS está sendo reduzido globalmente) Exemplo prático (Windows) 1. Baixar o novo certificado (.cer) Arquivo fornecido pelo Banco do Brasil. 2. Abrir o gerenciador de certificados Pressione: Win + R Digite: certmgr.msc 3. Importar o certificado Caminho: Autoridades de Certificação Raiz Confiáveis → Certificados Depois: Botão direito → Todas as Tarefas → Importar 4. Durante a importação Selecionar: Arquivo .cer Opção: Colocar todos os certificados no repositório a seguir Repositório: Autoridades de Certificação Raiz Confiáveis Finalizar o processo. 5. Importante Manter certificado antigo e novo ao mesmo tempo Não remover o antigo antes da virada Testar a aplicação após importar Fonte BB e Download: Home - Portal de Apoio ao Desenvolvedor BB

Para o consumo de algumas APIs do BB como as API PIX e API Pagamento em Lote utilizando as soluções ACBr (Componentes Delphi/Lazarus, ACBrMonitorPlus e ACBrLib) é necessária a troca de certificados para Autenticação mTLS (Mutual TLS authentication). É um tipo de autenticação que ambos, cliente e servidor, apresentam certificados digitais para serem validados pelo par. Ou seja, no caso da API de Pagamentos, para conseguir efetuar um request (seja ele de envio de remessa, consulta, cancelamento, etc.) ele deverá apresentar o seu certificado, que será validado pelo BB. Da mesma forma, o BB disponibilizará o seu certificado, que será validado pelo cliente. Em caso de confirmação de ambos, a autenticação será efetuada. Os certificados autorizados pelo BB para a autenticação mútua são do tipo A1, em formato .pem, com a cadeia inteira (Certificado > Intermediarias > Raiz), emitidos por uma CA válida (exemplos: Digicert, Verisign, ICP Brasil). Passo a passo para envio de certificado no Portal Developers - Windows Caso já possua o certificado instalado em sua máquina, gentileza seguir o passo a passo indicado abaixo Roteiro para exportação de chave pública: No prompt do Windows digite: certmgr.msc Clique na pasta Pessoal e, em seguida, na pasta Certificados Clique com o botão esquerdo duas vezes sobre o certificado que deseja exportar e, na aba "Detalhes", selecione Copiar para Arquivo ... Clique em Avançar (na tela de bem-vindo ao assistente de para exportação de certificados) e, em seguida, novamente Avançar. Na tela a seguir mantenha a opção "Não, não exportar a chave privada”. Clique em Avançar e marque a opção X.509 codificado no base 64 (*.cer) A seguir aparecerá uma tela para você escolher o local e o nome do arquivo .CER a ser exportado . Salve o certificado com o nome Empresa para facilitar mais adiante. Você vai receber uma mensagem que foi exportado com êxito o certificado. Pronto, você exportou o certificado da Empresa a ser colado em campo específico no Portal Developers. Exportar os demais certificados (Certificado intermediário e Raiz do Certificado) Realizar os mesmos procedimentos acima. Dica! Se entre o primeiro certificado (raiz) e o último (certificado da empresa) existirem outros intermediários, repetir o procedimento para cada um deles, respeitando a ordem de cima pra baixo (intermediário1, Intermediário2 etc.). Exportar o certificado raiz O certificado Raiz é o primeiro da cadeia no Caminho de Certificação conforme exemplo abaixo: Selecione o Certificado Raiz, o primeiro de cima para baixo conforme indicado na imagem acima, e depois realize os mesmos procedimentos realizados com Certificado da empresa. Clique em Exibir Certificado > Detalhes > Copiar para arquivo > Avançar > Selecione o formato x.509 codificado na base 64 (*cer) e clique em Avançar. Salve o certificado com o nome Raiz para facilitar mais adiante. Acesse o Portal Developers. Selecione a API para a qual será encaminhado o certificado. Clique em Certificados. São duas opções disponíveis: • A primeira sobre “Como obter os certificados e identificar as requisições feitas pelo BB?”, que possibilita baixar o Certificado BB. • A segunda opção é a que será usada para enviar os seus certificados obtidos por uma CA (organização responsável pela emissão de Certificados Digitais) para o BB. Clique em Enviar Certificado. A tela apresentada mostra como adicionar a Cadeia de Certificados. Dica: Na maioria das vezes, existem 4 certificados. Um certificado da empresa, dois certificados intermediários e um certificado raiz. Clique duas vezes em Adicionar certificado, para incluir cada um deles no respectivo botão. IMPORTANTE: NÃO clicar em (Enviar), antes de inserir TODOS os certificados. O envio é feito somente ao final do processo. São duas formas de inserção do certificado: • fazendo a importação do certificado, clicando em Importar Certificado. É a melhor opção, pois o conteúdo do certificado é colado no campo respectivo, evitando alguma falha no processo de copiar/colar. OU • abrindo o certificado com um editor de texto (Bloco de Notas, Notepad++ ou similar), copiando todo o conteúdo do certificado (Ctrl+C) e colando (Ctrl+V) no campo. Importar Certificado: Podem ser importados os arquivos de certificados com extensão .pem, .ctr, .cer e .cert. Se, durante a importação do certificado for mostrada a mensagem de erro “Certificado em formato inválido”, como abaixo: verifique se há alguma inconsistência no arquivo, fazendo um teste na página: https://certlogik.com/decoder/ Este decodificador faz alguns ajustes na formatação do conteúdo. Experimente copiar o arquivo criado no decodificador e colar novamente no campo do certificado a ser enviado para o Banco do Brasil. Só isso já soluciona o problema de formato inválido. Após adicionar todos os certificados separadamente, conforme os passos informados acima, clique em Enviar. Será exibida rapidamente no canto superior direito a mensagem "Requisição feita com sucesso" e você será direcionado para a tela abaixo: O campo Número Solicitação é a identidade da requisição. Ele deverá ser informado quando você precisar se referir ao envio do certificado. O campo Situação passará para Sucesso assim que o certificado for internalizado, o que ocorre no mesmo dia.