Desenvolvi um software de aplicação para certificação digital. Porém, ao testá-lo com um certificado de uma AC diferente, ele não foi validado. Os protocolos de acesso e validação podem ser diferentes dependendo da AC, ou por ser do tipo e-CPF deveria entrar no sistema, independente da AC?

Uma questão interessante e bastante importante dentro da ICP-Brasil, é justamente a interoperabilidade. Um sistema deve funcionar com qualquer certificado da ICP-Brasil, não importa quem o tenha emitido. Pode haver distinção quanto ao tipo de certificado (A1, A2, A3, A4, S1, S2, S3 e S4), mas não quanto ao emissor.

Por exemplo, um sistema pode ter sido projetado para utilizar certificados do tipo A3. Então, ele deverá funcionar com certificados do tipo A3 ou A4, que possui requisitos de segurança ainda mais elevados que o A3. E não deverá funcionar com certificados do tipo A1 ou A2, que possuem requisitos de segurança menores que o A3. Isso deve ser verdadeiro, não importa qual AC seja emissora do certificado.

Uma situação que pode estar ocorrendo é que talvez vocês não estejam com a cadeia de certificação instalada no sistema ou no smart card. Nesse caso, não será possível ao sistema descobrir o caminho de certificação e validar o certificado. Se não for esse o caso, sugerimos que a AC emissora do certificado seja contactada e informada dessa situação, que com certeza não é normal.