Chapucillas varias dentro de la Administración Pública española. Entidades certificadoras llamadas localhost y Apache Friends, Ministerios que utilizan certificados que no le corresponden, certificados caducados desde 2006, etc. "Buscando distintas alternativas para ofrecer SSL para el acceso a Obture.com nos hemos encontrado con varias sorpresas en distintas páginas oficiales de la Administración."
El problema de fondo de todo esto es que las entidades verificadoras mueven mucha pasta, y parte de su negocio es que saques su certificado SSL con ellos (Véase Verisign)
El problema es que si te sales de las 3-4 importantes, ningún navegador las reconoce (incluido Firefox)
Lo que es la polla en vinagreta es que no se reconozca al FNMT como EC, siendo como es la máxima autoridad en España para verificar (mucha ostia con las EC, pero aquí es el propio Estado quién te verifica)
Y respecto al "bug" que encuentra en el FNMT, el autor es un gallo, la página principal del FNMT es http://www.fnmt.es , no httpS://www.fnmt.es . Vamos, lo que ha hecho, como un campeón es ponerse él solito la S a ver donde lleva (y efectivamente le lleva a una especie de index de XAMPP, que tiene pinta de ser un index de prueba, digamos una parte NO construida). Lo habitual, que cae de cajon, es que una web, su indice no tenga SSL, y solo cuando se accede a un servicio, login, o cualquier cosa, es cuando la conexion se haga segura
de todas maneras a pesar lo que comenta #1 sobre el httpS://www.fnmt.es es verdad que muchas administraciones tienen los certificados caducados, o usan certificados para otros dominios. Eso es tiene toda la pinta de ser por la ley del minimo esfuerzo, copy & paste.
Lo de que los principales navegadores no reconozcan los certificados de la FNMT tambien tiene delito. Creo que no sería dificil que la FNMT se pusiera en contacto con los desarrolladores de los principales navegadores para solucionar el tema. Eso supone un trabajo conjunto pero eso no siempre es facil!.
#2 completamente de acuerdo, la LME de toda la vida ;). Lo de los certificados caducados tiene una coña impresionante, y a mas de una consultora debería caersele el pelo (y no volver a ser contratada).
Lo del https del FNMT, pa mi que hicieron el deploy del "producto", luego personalizaron, y nadie cayó en cuenta de quitar esa parte, y tiene delito, porque si quisiera atacar la web, empezaría por ahí.
Y lo de que no se reconozcan al FNMT como entidad certificadora, hay mucha pasta en juego, y Verisign y demás debe presionar (que vale, que presione a Chrome, Safari e IE pase, pero la Mozilla Foundation deberia pasarse las presiones en ese sentido por el arco del triunfo)
#1 es cierto que la web oficial es sin cifrar en el protocolo http, pero si tienes activado el protocolo https por lo menos tenlo bien, que menos que la autoridad certificadora en España tenga bien configurado su servidor con todos los certificados bien puestos.
Por otro lado, una cosa que también me planteo es, si el gobierno da firmas electrónicas a las personas, ¿Por que no da firmas electrónicas a empresas? y de la misma, firmas que sirvan para que una empresa en la web use ese certificado para el protocolo https.
#5 gracias, he estado leyendo, y realmente la web de la fnmt es un caos en cuanto a estructura e información, pero intentare ver como sacar el certificado.
Comentarios
Amos a ver, alma de cantaro...
El problema de fondo de todo esto es que las entidades verificadoras mueven mucha pasta, y parte de su negocio es que saques su certificado SSL con ellos (Véase Verisign)
El problema es que si te sales de las 3-4 importantes, ningún navegador las reconoce (incluido Firefox)
Lo que es la polla en vinagreta es que no se reconozca al FNMT como EC, siendo como es la máxima autoridad en España para verificar (mucha ostia con las EC, pero aquí es el propio Estado quién te verifica)
Y respecto al "bug" que encuentra en el FNMT, el autor es un gallo, la página principal del FNMT es http://www.fnmt.es , no httpS://www.fnmt.es . Vamos, lo que ha hecho, como un campeón es ponerse él solito la S a ver donde lleva (y efectivamente le lleva a una especie de index de XAMPP, que tiene pinta de ser un index de prueba, digamos una parte NO construida). Lo habitual, que cae de cajon, es que una web, su indice no tenga SSL, y solo cuando se accede a un servicio, login, o cualquier cosa, es cuando la conexion se haga segura
de todas maneras a pesar lo que comenta #1 sobre el httpS://www.fnmt.es es verdad que muchas administraciones tienen los certificados caducados, o usan certificados para otros dominios. Eso es tiene toda la pinta de ser por la ley del minimo esfuerzo, copy & paste.
Lo de que los principales navegadores no reconozcan los certificados de la FNMT tambien tiene delito. Creo que no sería dificil que la FNMT se pusiera en contacto con los desarrolladores de los principales navegadores para solucionar el tema. Eso supone un trabajo conjunto pero eso no siempre es facil!.
#2 completamente de acuerdo, la LME de toda la vida ;). Lo de los certificados caducados tiene una coña impresionante, y a mas de una consultora debería caersele el pelo (y no volver a ser contratada).
Lo del https del FNMT, pa mi que hicieron el deploy del "producto", luego personalizaron, y nadie cayó en cuenta de quitar esa parte, y tiene delito, porque si quisiera atacar la web, empezaría por ahí.
Y lo de que no se reconozcan al FNMT como entidad certificadora, hay mucha pasta en juego, y Verisign y demás debe presionar (que vale, que presione a Chrome, Safari e IE pase, pero la Mozilla Foundation deberia pasarse las presiones en ese sentido por el arco del triunfo)
#1 es cierto que la web oficial es sin cifrar en el protocolo http, pero si tienes activado el protocolo https por lo menos tenlo bien, que menos que la autoridad certificadora en España tenga bien configurado su servidor con todos los certificados bien puestos.
Por otro lado, una cosa que también me planteo es, si el gobierno da firmas electrónicas a las personas, ¿Por que no da firmas electrónicas a empresas? y de la misma, firmas que sirvan para que una empresa en la web use ese certificado para el protocolo https.
#4 Las da, que yo sepa, ahora si hay que pagar algo, no lo he conseguido ver (aunque de pagar, yo creo que sería simbolico)
http://www.cert.fnmt.es/index.php?cha=com&lang=es
#5 gracias, he estado leyendo, y realmente la web de la fnmt es un caos en cuanto a estructura e información, pero intentare ver como sacar el certificado.