No domínio SSL/TLS, o erro “Não foi possível obter o certificado do emissor local” é um obstáculo comum que desenvolvedores e administradores de sistema encontram ao trabalhar com conexões seguras. Este erro normalmente surge quando uma cadeia de certificados não pode ser totalmente validada, o que significa que o sistema não consegue verificar a autenticidade de um certificado porque não reconhece o emissor. Compreender esse erro é crucial para garantir a comunicação segura em aplicações web, servidores e outros sistemas que dependem de SSL/TLS.
O que é SSL/TLS?
SSL (Secure Sockets Layer) e seu sucessor, TLS (Transport Layer Security), são protocolos criptográficos projetados para fornecer comunicação segura em uma rede de computadores. Eles são amplamente usados ​​para proteger o tráfego da web, e-mail e outras formas de comunicação. O objetivo principal do SSL/TLS é garantir privacidade, integridade de dados e autenticação entre as partes em uma sessão de comunicação.
SSL/TLS depende de certificados para estabelecer confiança. Esses certificados são emitidos por entidades confiáveis ​​conhecidas como Autoridades de Certificação (CAs). Quando uma conexão segura é estabelecida, o servidor apresenta seu certificado ao cliente e o cliente verifica esse certificado em uma lista de CAs confiáveis. Se o certificado for válido e a CA for confiável, a conexão continuará. Caso contrário, poderão ocorrer erros como "Não foi possível obter o certificado do emissor local".
A anatomia de uma cadeia de certificados
Uma cadeia de certificados, também conhecida como caminho de certificação, é uma sequência de certificados, onde cada certificado da cadeia é assinado pelo certificado subsequente. A cadeia começa com o certificado do usuário final e vai até um certificado raiz, que é autoassinado pela CA. A estrutura típica de uma cadeia de certificados inclui:

1. Certificado de usuário final: Este é o certificado do site ou serviço em questão.
2. Certificados Intermediários: Esses certificados preenchem a lacuna entre o certificado do usuário final e o certificado raiz. Eles são emitidos pela CA e devem ser confiáveis ​​pelo cliente.
3. Certificado raiz: O certificado raiz é o certificado mais alto da cadeia e é autoassinado pela CA. Geralmente é pré-instalado no armazenamento de certificados do sistema. Para que o certificado seja confiável, toda a cadeia, desde o certificado do usuário final até o certificado raiz, deve ser válida e reconhecida pelo sistema. Se algum elo desta cadeia estiver faltando ou não for reconhecido, ocorrerão erros. O que causa o erro “Não foi possível obter o certificado do emissor local”? O erro "Não é possível obter o certificado do emissor local" ocorre quando o certificado apresentado pelo servidor não pode ser validado porque o cliente não consegue localizar o certificado intermediário ou o certificado raiz em seu armazenamento confiável. Vários fatores podem levar a este erro:
4. Certificados intermediários ausentes: o Se o servidor não fornecer a cadeia de certificados completa, o cliente poderá não conseguir verificar o certificado. Isso é comum quando o servidor envia apenas o certificado do usuário final sem incluir os certificados intermediários.
5. Armazenamento de certificados desatualizados ou incompletos: o O armazenamento de certificados do cliente pode não ter os certificados intermediários ou raiz necessários. Isso pode acontecer se o armazenamento de certificados do sistema estiver desatualizado ou se um certificado necessário não tiver sido instalado.
6. Certificados autoassinados: o Se um certificado autoassinado for usado e o cliente não confiar nesse certificado, a conexão falhará com este erro. Isso geralmente é visto em ambientes de desenvolvimento onde certificados autoassinados são usados ​​para fins de teste.
7. Configuração inadequada: o Às vezes, configurações incorretas no servidor, como caminhos incorretos para arquivos de certificado, podem fazer com que o servidor envie uma cadeia de certificados incompleta ou incorreta.
8. Certificados expirados: o Se algum certificado da cadeia tiver expirado, o cliente poderá não conseguir validar a cadeia, levando a este erro. Solução de problemas e resolução do erro Para resolver o erro "Não foi possível obter o certificado do emissor local", várias etapas podem ser executadas dependendo da causa raiz:
9. Certifique-se de que a cadeia completa de certificados seja enviada: o O servidor deve ser configurado para enviar a cadeia completa de certificados, incluindo o certificado do usuário final e todos os certificados intermediários. Isso normalmente é feito concatenando os certificados em um único arquivo ou garantindo que o software do servidor esteja configurado para fazer referência a todos os certificados necessários.
10. Atualizar o armazenamento de certificados do cliente: o Se o armazenamento de certificados do cliente estiver desatualizado, ele deverá ser atualizado com os certificados mais recentes. Na maioria dos sistemas operacionais, isso pode ser feito por meio de gerenciadores de pacotes ou atualizações de sistema. Por exemplo, no Linux, atualizar o pacote ca-certificates pode atualizar o armazenamento de certificados.
11. Adicionar certificados ausentes manualmente: o Se faltarem certificados intermediários ou raiz específicos, eles poderão ser adicionados manualmente ao armazenamento de certificados do cliente. Isso é feito obtendo os certificados ausentes no site da CA e instalando-os no armazenamento confiável.
12. Verifique se há certificados expirados: o Use ferramentas como OpenSSL para verificar a validade dos certificados na cadeia. Se algum certificado tiver expirado, ele deverá ser renovado ou substituído.
13. Use a configuração correta do servidor: o Certifique-se de que o servidor esteja configurado corretamente para apontar para os arquivos de certificado corretos. Verifique a configuração SSL/TLS do servidor para verificar se os caminhos do certificado estão configurados corretamente e se os arquivos estão acessíveis.
14. Mudar para uma CA confiável: o Se certificados autoassinados estiverem causando o problema, considere mudar para certificados emitidos por uma CA confiável. Muitos serviços agora oferecem certificados SSL/TLS gratuitos (como Let’s Encrypt), que podem ser facilmente instalados e reconhecidos pela maioria dos clientes. Ferramentas para diagnosticar o erro Várias ferramentas podem ajudar a diagnosticar e corrigir o erro "Não foi possível obter o certificado do emissor local":
15. OpenSSL: o OpenSSL é uma ferramenta amplamente utilizada para gerenciar e solucionar problemas de certificados SSL/TLS. Comandos como openssl s_client -connect podem ser usados ​​para inspecionar a cadeia de certificados apresentada por um servidor.
16. Teste SSL do Laboratório SSL: o O SSL Labs SSL Test é um serviço online que analisa a configuração SSL/TLS de um servidor e fornece informações detalhadas sobre a cadeia de certificados e possíveis problemas.
17. Curl com opção detalhada: o A ferramenta de linha de comando Curl, quando usada com a opção -v, pode fornecer insights sobre o processo de handshake SSL/TLS e identificar onde a verificação do certificado está falhando.
18. Ferramentas de desenvolvedor de navegador: o Os navegadores modernos vêm com ferramentas de desenvolvedor que incluem painéis de segurança. Eles podem ser usados ​​para inspecionar a cadeia de certificados de qualquer site e identificar certificados ausentes ou não confiáveis. Conclusão O erro “Não foi possível obter o certificado do emissor local” é um problema comum que surge ao trabalhar com SSL/TLS, especialmente em ambientes onde a comunicação segura é crítica. Ao compreender a estrutura das cadeias de certificados e os fatores que podem levar a esse erro, você pode diagnosticar e resolver o problema com eficácia. Seja atualizando o armazenamento de certificados do cliente, garantindo o envio de toda a cadeia de certificados ou mudando para uma CA confiável, existem diversas estratégias disponíveis para mitigar esse problema e garantir uma comunicação segura e confiável.