Certificado transmissor inválido
Rejeição 280: Certificado Transmissor inválido
certificado-tlscadeia-icpO que significa esta rejeição
O certificado digital usado no handshake TLS com o webservice da SEFAZ não foi aceito. O transmissor da NF-e precisa apresentar um certificado ICP-Brasil válido (tipo A1 ou A3, e-CNPJ ou e-CPF do produtor rural), com cadeia completa, dentro da validade e não revogado.
A 280 trata especificamente do certificado da conexão TLS, não da assinatura do XML. A assinatura tem rejeições próprias (291, 297). A 280 é "eu não consegui nem te deixar entrar".
Causas mais comuns
- Certificado A3 fora do cartão/token no momento da transmissão.
- Cadeia ICP-Brasil incompleta (faltou a AC raiz ou a AC intermediária no
keystoredo servidor). - Certificado expirado, mas o relógio do servidor está adiantado/atrasado mascarando a expiração.
- Certificado revogado pela Autoridade Certificadora (uso indevido, vazamento da chave privada).
- TLS handshake recusado pelo lado da SEFAZ por motivo de cipher suite incompatível.
- e-CNPJ emitido para outra empresa, e o sistema está usando o certificado errado.
Regra de validação oficial
A SEFAZ valida o certificado X.509 no handshake TLS: cadeia até a raiz ICP-Brasil, período de validade, status da CRL/OCSP, finalidade compatível (assinatura digital e autenticação cliente). Falhas resultam em 280, sem entrega do payload.
Exemplo XML, antes (errado)
Não há exemplo de XML antes/depois porque o erro acontece antes do envio do payload. O diagnóstico vem do log de conexão TLS do cliente:
SSL alert number 42
certificate verify failed: unable to get local issuer certificateExemplo XML, depois (correto)
Configuração esperada no cliente HTTP:
tls.version = TLSv1.2 (ou superior)
client.cert = e-CNPJ A1 (.pfx) válido, com chave privada
client.chain = AC raiz ICP-Brasil + ACs intermediárias relevantes
server.ca = bundle ICP-Brasil aceito pela SEFAZApós instalar a cadeia completa, o handshake conclui e a transmissão prossegue para validação fiscal.
Passo a passo para corrigir
- Confirme que o certificado e-CNPJ ou e-CPF está dentro da validade. Para A3, garanta que o token está conectado e a senha foi informada.
- Verifique a cadeia: a AC raiz e as intermediárias precisam estar instaladas. Baixe o pacote oficial em https://www.iti.gov.br/.
- Cheque a CRL/OCSP. Se o certificado foi revogado, emita um novo.
- Sincronize o relógio do servidor (NTP).
- Reenvie a nota. Nenhuma numeração é consumida.
Como o FazendaNota previne
O FazendaNota trabalha com certificado A1 (arquivo .pfx/.p12) e valida o arquivo já no momento do cadastro, conferindo a cadeia de certificação ICP-Brasil e a validade. Se o certificado estiver vencido, revogado ou com cadeia incompleta, o upload é recusado com o motivo, e a plataforma avisa quando a validade está próxima do fim, para renovar antes de a emissão parar. O FazendaNota não usa certificado A3/token.
Rejeições relacionadas
- Rejeição 282, Certificado transmissor data validade
- Rejeição 291, Certificado Assinatura difere do Transmissor
- Rejeição 297, Assinatura difere do calculado
Referência oficial
Esta rejeição está descrita no Anexo I - Leiaute e Regra de Validação do Manual de Orientação do Contribuinte (MOC) v7.0 da NF-e, publicado pelo CONFAZ. Texto integral em https://www.confaz.fazenda.gov.br/legislacao/arquivo-manuais/moc7-visao-geral.pdf