BIMER_NFSE_REJEIÇÃO_999_Forbidden (403)


A Rejeição 999: 403 Forbidden é um código de resposta do servidor da prefeitura indicando que a conexão foi "proibida". Em termos simples: o sistema da prefeitura recebeu sua tentativa de envio, mas recusou o acesso por falta de permissão ou falha na identificação.

Diferente de erros de preenchimento de nota, este é um bloqueio de comunicação entre o seu software e o webservice do município.


Índice

Compreendendo a Rejeição 

 As causas mais comuns para essa Rejeição 999: 403 Forbidden são:

  • Certificado Digital: O certificado pode estar vencido, inválido ou não ser do tipo A1/A3 autorizado.

  • Cadeia de Certificação: O computador ou servidor não possui as "raízes" de confiança necessárias para conversar com o site da prefeitura.

  • Bloqueio de IP/Proxy: O firewall da rede ou um proxy está impedindo a saída da informação.

  • Indisponibilidade: O servidor da prefeitura pode estar em manutenção ou com instabilidade momentânea.


Como resolver 

Para solucionar esse problema, siga os procedimentos abaixo na ordem indicada:

1. Verifique a validade do Certificado Digital

Certifique-se de que o certificado digital da empresa não expirou. Tente realizar o login no portal da prefeitura ou no e-CAC utilizando o mesmo certificado para validar se ele está funcional.

Existem duas formas principais de conferir se o certificado ainda é "voto vencido" ou se está pronto para uso.

Pelo Gerenciador de Certificados do Windows (Certmgr)

  1. Pressione as teclas Windows + R no teclado.

  2. Digite certmgr.msc e dê OK.

  3. No menu à esquerda, abra a pasta Pessoal e depois clique em Certificados.

  4. Localize o certificado da empresa na lista.

  5. Observe a coluna Data de Validade. Se a data já passou, o certificado precisa ser renovado com a sua certificadora (ex: Certisign, Serasa, etc.).

Pelo Navegador (Google Chrome / Edge)

  1. Abra as Configurações do navegador.

  2. Vá em Privacidade e Segurança > Segurança.

  3. Role até o final e clique em Gerenciar certificados.

  4. Uma janela abrirá listando os certificados e suas respectivas datas de expiração.


2. Atualize as Cadeias de Certificado

Muitas vezes, o Windows ou o servidor não reconhece a autoridade certificadora.

  • Instale a cadeia de certificados atualizada da ICP-Brasil.

  • Certifique-se de que o certificado está instalado no repositório "Pessoal" do usuário que executa o software.


As cadeias de certificados (ou Certificados de Raiz) funcionam como o "RG" da autoridade que emitiu o seu certificado. Se o Windows não as conhece, ele bloqueia a conexão (Erro 403).

Passo 1: Download das Cadeias Oficiais

O portal oficial para baixar essas cadeias no Brasil é o do ITI (Instituto Nacional de Tecnologia da Informação).

  • Acesse o site oficial do ITI (procurando por "Repositório ICP-Brasil").

  • Geralmente, você deve baixar o arquivo da AC Raiz Brasileira mais recente (ex: v5, v10).

Passo 2: Instalação Manual

  1. Após baixar o arquivo (geralmente com extensão .p7b, .crt ou .der), clique com o botão direito sobre ele e selecione Instalar Certificado.

  2. No Assistente de Importação, selecione Usuário Atual e clique em Avançar.

  3. Importante: Escolha a opção "Colocar todos os certificados no seguinte repositório".

  4. Clique em Procurar e selecione Autoridades de Certificação Raiz Confiáveis.

  5. Clique em OK, Avançar e Concluir.

Passo 3: Verificação Técnica

Para garantir que o Windows entendeu a mudança:

  1. Volte ao certmgr.msc (mencionado no item 1).

  2. Vá na pasta Autoridades de Certificação Raiz Confiáveis > Certificados.

  3. Verifique se as novas cadeias da ICP-Brasil aparecem na lista.

Nota para o usuário: Se mesmo após atualizar as cadeias o erro persistir, tente reiniciar o computador. Algumas alterações de registro do Windows só são aplicadas ao serviço de transmissão após o reboot do sistema.


3. Configurações de Internet e SSL/TLS

O protocolo de segurança deve estar alinhado com o que a prefeitura exige:

  • Vá em Opções da Internet (Painel de Controle).

  • Na aba Avançadas, verifique se as opções TLS 1.2 e TLS 1.3 estão marcadas.

  • Desmarque protocolos antigos como SSL 2.0 e 3.0.

4. Liberação de Firewall e Antivírus

Se a sua empresa possui um firewall rigoroso, o endereço do webservice (ex: https://nfews.prefeitura.sp.gov.br) pode estar bloqueado.

  • Solicite ao seu TI que adicione a URL da prefeitura à Lista de Permissões (Whitelist).

5. Aguarde e tente novamente

Caso os passos acima não funcionem, é provável que o servidor da prefeitura esteja passando por uma instabilidade técnica. Aguarde cerca de 15 a 30 minutos e tente realizar a transmissão novamente.

Dica: Se o erro persistir apenas em um computador específico, o problema costuma ser local (instalação do certificado). Se ocorrer em todas as máquinas da empresa, o problema geralmente é no cadastro junto à prefeitura ou instabilidade no portal deles.