El 26 de Mayo del 2008 se inicio la petición formal de añadir el certificado de la Fabrica Moneda y Timbre en el navegador Firefox. Después de 9 años el navegador traerá el certificado por defecto en NSS 3.28.1 y Firefox 51.
#1:
Este retraso no ha sido debido a Mozilla, sino a las enormes dificultades de la FNMT para cumplir con los requisitos que sí cumplen todos los demás certificados.
#3:
#1 Si lees el hilo de bugzilla, hay un momento en que les piden una url para descargarse el CLR el 02-12-2008 y les contestan con la URL el 11-11-2009, casi un año después
#7:
Todo el sistema de certificados de la FNMT es una soberana mierda. Yo solicité en su día el certificado digital para no tener que emplear el lector de DNI-E. Todo iba de maravilla hasta que se inventaron la mierda esta de Pasarela CLAVE, ahora falla más que una escopeta de feria.
Tanto es así, que he optado por tirar de clave permanente con PIN que por lo menos entra a la primera, aunque tengan que enviarme un código al móvil cada vez que hago login...
Con lo fácil que era antes seleccionar la opción de certificado/DNI-E y listo. Pero no, tenían que cagarla.
#8:
#2 Mecachis,... lo que tiene hablar y no saber.
¿Podrías mirar la lista de Mozilla y ver el show que dan las empresas externas al negociar meter ese certificado en mozilla?
Si eres de mente abierta igual hasta cambias de postura.
#66:
#8 Yo sólo sé que usar las webs de la administración suele ser un dolor. Unas requieren java de una versión concreta, otras, otra versión, algunas, sólo determinados navegadores y determinadas configuraciones de seguridad. Ya podían homogeneizar criterios y sistemas. Y no lo digo desde el punto de vista de un particular, que es aún peor, sino desde el punto de vista de un informático que lleva el mantenimiento de la red de un par de asesorías que usan las webs de la administración local, autonómica y estatal de forma cotidiana. Ni queriendo se consigue hacer un sistema menos práctico.
#75:
#10 IE utiliza los del sistema.
Chrome su no me equivoco también.
Así que si Microsoft los acepta Chrome los acepta, si Microsoft la caga aceptando algo que no debe los usuarios de Chrome están jodidos por haber dejado su navegador en manos de otros algo tan delicado.
Lo cual no es escusa para no revisar el proceso de Mozilla, que seguramente tengan que mejorar y agilizar.
#10:
#1 El retraso se debe en parte a la laxitud funcionaria, pero también a que desde Mozilla han tardado un infierno en moverse. La demostración simple es que en Chrome e IE hace tiempo (mucho) que no hay problema para utilizar los certificados de la FNMT.
Cl@ve puede utilizarse con certificado, pero también sin él.
Todo lo que se puede utilizar con certificado se puede utilizar con cl@ve, no al revés. Cl@ve, por decirlo de alguna manera, pretende simplificar al ciudadano el uso de la administración electrónico (sobre todo para los que no tienen certificados tradicionales", pudiendo utilizar otras formas de autenticación y firma más laxas (como PIN24).
De hecho, hablas de Clave permanente, que también se puede utilizar dentro de cl@ve.
En resumen, llevas un cacao en tu cabeza mezclando tecnologías y echando la culpa a cl@ve de los certificados de la FNMT, cuando son organismos distintos.
Soy el primero en decir que hay mucho que mejorar en la FNMT (desde fuera, no trabajo allí), pero tu comentario indica que no terminas de conocer de qué hablas.
Y posiblemente sea fallo de la administración (por no haberlo explicado bien).
#5:
Barrapunto, cuánto tiempo sin saber de ella... Qué recuerdos!
Y qué curioso agregar una noticia del que fue antes agregador de noticias.
#16:
#1 que atrevida es la ignorancia. Antes de comentar es importante saber de qué se habla majo. Mozilla ha estado poniendo palos en las ruedas desde tiempos inmemoriales, sobretodo cuando no se ha querido entrar al juego de Mozilla (cantidades de dinero absurdas)
#26:
Si consigues instalar el certificado y el DNIE te convalidan FP2 de administración de sistemas en red
#70:
#66 Ya, es lo que tiene subcontratar. A la empresa que hace la web lo único que le importa es ser capaz de que te quedes atado a lo que ellos han hecho.
Este retraso no ha sido debido a Mozilla, sino a las enormes dificultades de la FNMT para cumplir con los requisitos que sí cumplen todos los demás certificados.
#8 Es alucinante el cariño que le tenéis a los funcionarios en esta web. No sé qué hacen aquí con sus 24k€ de mierda al año cuando podrían estar en Silicon Valley cobrando 250k$.
#48#8 con lo divertido que es hablar sin tener ni idea ( y sin probablemente haberse molestado en leer la noticia tambien) ..., no le rompáis la ilusión al pobre, si eso le hace feliz y le mantiene tranquilo dejadlo que disfrute un poco
#8 Yo sólo sé que usar las webs de la administración suele ser un dolor. Unas requieren java de una versión concreta, otras, otra versión, algunas, sólo determinados navegadores y determinadas configuraciones de seguridad. Ya podían homogeneizar criterios y sistemas. Y no lo digo desde el punto de vista de un particular, que es aún peor, sino desde el punto de vista de un informático que lleva el mantenimiento de la red de un par de asesorías que usan las webs de la administración local, autonómica y estatal de forma cotidiana. Ni queriendo se consigue hacer un sistema menos práctico.
#66 Ya, es lo que tiene subcontratar. A la empresa que hace la web lo único que le importa es ser capaz de que te quedes atado a lo que ellos han hecho.
#76 Cuando además el java no funciona ya en algunos navegadores, y muchas empresas aún tienen XP Profesional en el escritorio. Con que lo hicieran todo compatible con Firefox, ya no habría problemas de java, Windows, Linux... Software libre para todos. Pero no, aún hay administraciones que te dicen "sólo Internet explorer", tristemente.
#2 El problema no es si son funcionarios o entrepeneurs. El Problema (the big problem) viene de dejarlo todo sin control y sin una legislación. Listillo liberaloide. Ahora vas y lo llamas problema ideológico, salao. Mientras trabajas y haces publicidad para los nuevos señores feudales que te explotan y nos explotan.
#1 Si lees el hilo de bugzilla, hay un momento en que les piden una url para descargarse el CLR el 02-12-2008 y les contestan con la URL el 11-11-2009, casi un año después
#1 El retraso se debe en parte a la laxitud funcionaria, pero también a que desde Mozilla han tardado un infierno en moverse. La demostración simple es que en Chrome e IE hace tiempo (mucho) que no hay problema para utilizar los certificados de la FNMT.
Even if 131 days is proof that Mozilla needs reviewing his process to get CAs accepted, the 240 days delay by FNMT, 180 days without a single commment, is completely unacceptable.
El log no menciona dinero ni pagos ni nada parecido en ningún momento.
#10 IE utiliza los del sistema.
Chrome su no me equivoco también.
Así que si Microsoft los acepta Chrome los acepta, si Microsoft la caga aceptando algo que no debe los usuarios de Chrome están jodidos por haber dejado su navegador en manos de otros algo tan delicado.
Lo cual no es escusa para no revisar el proceso de Mozilla, que seguramente tengan que mejorar y agilizar.
#1 que atrevida es la ignorancia. Antes de comentar es importante saber de qué se habla majo. Mozilla ha estado poniendo palos en las ruedas desde tiempos inmemoriales, sobretodo cuando no se ha querido entrar al juego de Mozilla (cantidades de dinero absurdas)
#28#78#85 Josmios...¿De verdad pensais que el dinero al que se refiere #16 es uno que se pone en las condiciones?¿Pensais que en las licitaciones aparecía que debian dar un 3% a los Puyol?
Cuando conozcais las mafias de las CA flipareis...o eso dicen los mentideros.
Las empresas se embolsan un paston por emitir certificados(de 300€ a 3000€ al año y web) pero estos certificados no sirven de nada si el navegador no acepta el certificado añadiendolo a una lista de certificados autorizados. Si una web decide usar un certificado que no está en esa lista, el navegador muestra al usuario un "Certificado no verificado. Sácame de aquí o navega bajo tu responsabilidad". Por lo que el dueño de la web debe pagar los 300€ por el certificado a una empresa autorizada por el navegador y dicen (o eso parece) que los navegadores aceptan propinas de estas empresas para "agilizarles el proceso" de incluirles como autorizados.
Si la empresa que venden certificados cobra un paston por ellos, los navegadores quieren su parte del pastel por incluirles en la lista. ¿Quieres ser incluido?Pues paga. De hecho es una forma de bloquear que entren decenas de empresas certificadoras, permitiendo que los certificados sigan vaiendo un pastón, y que los navegadores se lleven su parte del pastel. O eso dicen los mentideros.
Como la FNMT no ha querido pasar por el procedo rapido pues le ha tocado pasar por el proceso lento.
¿O como pensabais que ganaban pasta los navegadores?Sobre todo antes que no espiaban ni trackeaban al usuario...
El mínimo que puede tardar es 8 meses porque prima hacer bien las cosas frente a que haya millones de entidades certificadoras que no guarden a buen recaudo sus claves privadas y pasen cosas como esta:
Mientras no se use DANE o un sistema verdaderamente eficaz que evite que una CA pueda liarla parda y comprometer cualquier dominio hay que hacerlo así.
Lo que dices es una suposición, como suponer que si sobornas al cirujano que te va a operar va a hacerlo mejor.
#94 Madre mía, si estás pagando 300€ por cada certificado algo haces mal. Trabajo con esto y por la mayoría de nuestros certificados no pagamos (Let's Encrypt o Amazon Certificate Manager, antiguamente StartSSL). Solo con EV puedo entender que pagues más, aunque en muy pocos casos necesitas EV. Si pagas 3000€, te están timando.
Pero es que además conseguir un certificado para una web y lo que está haciendo aquí la FNMT son procesos totalmente distintos. Estás acusando gratuitamente y sin ningún fundamento de corrupción a Mozilla Foundation, una de las organizaciones más transparentes que te puedes encontrar.
Y dices que "es una forma de bloquear que entren decenas de empresas certificadoras". WTF. Hay actualmente 174 CA que vienen preinstaladas con Firefox (https://wiki.mozilla.org/CA:IncludedCAs).
Todo el sistema de certificados de la FNMT es una soberana mierda. Yo solicité en su día el certificado digital para no tener que emplear el lector de DNI-E. Todo iba de maravilla hasta que se inventaron la mierda esta de Pasarela CLAVE, ahora falla más que una escopeta de feria.
Tanto es así, que he optado por tirar de clave permanente con PIN que por lo menos entra a la primera, aunque tengan que enviarme un código al móvil cada vez que hago login...
Con lo fácil que era antes seleccionar la opción de certificado/DNI-E y listo. Pero no, tenían que cagarla.
#47 No, además, el concepto de smartcard en el DNIe es justamente evitar que puedas sacar las llaves de dentro, así que "Puedes extraer el certificado del dni" va justamente contra el principio básico de diseño de la plataforma.
Tu enlace habla de obtener un certificado de la FNMT, tal como puedes apreciar en la URL.
#64 No, eso es lo que él dice que estaba usando, pero que ahora le da problemas. #7 Yo sin embargo no he tenido ningún problema para utilizar el certificado de la FNMT en administraciones que usan Clave también.
#9 No se puede extraer la clave privada de una tarjeta criptográfica, ni del DNI ni de ninguna, por definición. Si se pudiera, no sería una tarjeta criptográfica.
#7 Que yo sepa, todas las gestiones que pueden hacerse con CLAVE pueden hacerse también con certificado digital. Son dos opciones de identificación para hacer las mismas cosas, nadie te ha obligado a usar una en vez de la otra.
#33 Cuando intento entrar con Certificado salta este error: ReferenceError: Can't find variable: MiniApplet
Si intento entrar con certificado a través del sistema CLAVE no aparece la opción.
Puede ser problema de mi navegador, pero por ejemplo en la web de la DGT funciona perfectamente...
#60 Mira a ver que no tengas una extensión del navegador que te esté capando algo vital. Desactiva antianuncios, antiscripts y antitodo en las webs de la administración, que están hechas con el culo y son muy delicadas.
#60 ¿Qué navegador usas? El MiniApplet necesita Java, y hace más de un año que Chrome dejó de soportar Java, tienes que usar Firefox o Explorer. Si aún así sigue fallando, vete a la configuración del Java, a la pestaña de Seguridad, y mete la web a la que accedes como sitio de confianza.
#77 ¿Qué parte de lo escrito en #15 es la que no has entendido? He dicho que las que pueden hacerse con CLAVE también pueden hacerse con certificado, no al revés.
#93 La parte en que eso tampoco es cierto.
Por ejemplo, si quieres obtener el "Informe de estar al corriente en las obligaciones de la Seguridad Social"
Pues autentificar con clave o sms (accedes a él directamente) o sin certificado (te lo envían a tu domicilio).
Pero no tienes opción de usar certificado digital.
Cl@ve puede utilizarse con certificado, pero también sin él.
Todo lo que se puede utilizar con certificado se puede utilizar con cl@ve, no al revés. Cl@ve, por decirlo de alguna manera, pretende simplificar al ciudadano el uso de la administración electrónico (sobre todo para los que no tienen certificados tradicionales", pudiendo utilizar otras formas de autenticación y firma más laxas (como PIN24).
De hecho, hablas de Clave permanente, que también se puede utilizar dentro de cl@ve.
En resumen, llevas un cacao en tu cabeza mezclando tecnologías y echando la culpa a cl@ve de los certificados de la FNMT, cuando son organismos distintos.
Soy el primero en decir que hay mucho que mejorar en la FNMT (desde fuera, no trabajo allí), pero tu comentario indica que no terminas de conocer de qué hablas.
Y posiblemente sea fallo de la administración (por no haberlo explicado bien).
#62 Se lo que es Cl@ve, de hecho lo has explicado perfectamente. Un sistema que permite acceder a las funciones de la administración electronica sin necesidad del DNIe o del certificado de la FNMT.
El problema reside en que muchas webs de las administraciones han sustituido el acceso por certificado directo a través de la pasarela Cl@ve (que como bien dices, puedes usar clave PIN, clave permanente, o Certificado/DNIe).
Por ejemplo, la página del MECD (antes podías acceder con un login de usuario/contraseña a los niveles de autenticación 1 y con Certificado digital o DNIe a los de nivel 2). Ahora para acceder al nivel 2 tienes que entrar si o si por la pasarela Cl@ve, y aunque uses la opción de certificado digital falla cada 2 por tres (o "ha ocurrido un error", o bien la autenticación ha fallado).
De media, cada vez que acceso tengo que recargar la página 3 veces para que se cargue correctamente. Puede ser debido a mi navegador o S.O. (Safari y OSX), ya que la administración suele hacer las cosas a medias y compatibles con muy poca cosa (por ejemplo la noticia que tu has publicado), sin ir mucho más lejos hasta hace un par de años muchas de las funciones debían hacerse si o si a través de iExplorer...
#82 mejor explicado ahora
Y sí, por desgracia queda mucho que mejorar en la administración y la compatibilidad. Pero precisamente cl@ve es una puerta a la mejora del futuro, pues una página es la que aglutirará toda la autenticación de la administración, permitiendo que no tenga cada organismo que implementar la suya propia.
Esto podría suponer que errores como los que comentas arreglándose en cl@ve se arreglen para toda la administración, y teniendo "bien pulida" cl@ve tendríamos un sistema de acceso no perfecto, pero sí lo suficientemente bueno.
#4 Falso, ayer compilé e instalé el master de opensc y funcionó con un DNIe 3.0 nuevo, de hecho, los commits apuntan a que hay soporte oficial des de octubre-noviembre 2016, ale.
#18 Falso, fué en un Kubuntu 16.04 LTS que aproveché para pasar a 16.10 ya opensc 0.16 sólo está para el 16.10. el kernel que usaba el 16.04 ya incorporaba el driver del lector y no dió ningún problema, eso sí, tuve que instalar los paquetes pertinentes.
#11 Pues te felicito. He intentado instalar el puñetero certificado y al final desistí. Entras en un bucle infinito y nadie soluciona nada. Y es más...Hasta me decía el navegador que el sitio no era seguro. Pa cagarse.
#21 Seguí paso por paso todas las instrucciones...Y al final el navegador me avisaba que el sitio no era seguro.
Les escribí y me contestaron una cosa completamente absurda sobre algo que no tenía nada que ver.
Tengo otros certificados instalados y no son tan chorras como este.
#23
Si te dice que la conexión no es segura eso es de la web, no del DNIe. Y eso además significa que no tienes todos los certificados instalados en el navegador.
Pero si el otro día decían en el meneo de la desaparición del programa PADRE que el certificado digital de la FNMT funcionaba estupendamente en Firefox!
#34 Más tiempo hacían perder cuando no los había, que para cualquier gestión de mierda había que personarse en las oficinas de la administración pública y después esperar semanas.
El problema es que Firefox no emplea los certificados raíz del sistema operativo como si lo hacen de forma lógica otros navegadores (Chrome, ie...). El problema subyacente si queréis es la forma en la que funciona la PKI y su centralización. Pero echar la culpa de todo a los funcionarios sin seguramente tener ni idea de como funciona la administración es de un nivel de todología que asusta.
#59 Para que el navegador reconozca un certificado como válido tiene que estar firmado por una autoridad de certificación válida. Dichas autoridades de certificación pueden venir "preinstaladas" con el propio navegador o las puede añadir el propio usuario. En el caso de los certficados de la FNMT sucedía que estaban firmados por una autoridad de certificación no preinstalada en el navegador y era necesario realizar este trámite manualmente, de lo contrario no era posible utilizar un certificado expedido por la Administración Pública, o incluso entrar en determinados sitios web oficiales sin que el navegador mostrase una advertencia de seguridad. Aunque la configuración de los certificados no es algo excesivamente complicado, esto suponía sin duda un problema para muchos usuarios sin conocimientos de informática, para los cuales todo esto debería ser transparente y funcionar sin más.
soy nuevo, me registe ayer , me gusta la idea de la comunidad , me podría explicar alguien como va esto , es que ni puedo votar ni puedo crear un sub , tenia pensado crear uno jurídico para resolver dudas y compartir conocimientos , o que alguien lo cree ya que yo o puedo
gracias a todos
Comentarios
Este retraso no ha sido debido a Mozilla, sino a las enormes dificultades de la FNMT para cumplir con los requisitos que sí cumplen todos los demás certificados.
#1 Funcionarios...
Y en manos de esta gente quieren algunos dejar nuestra prosperidad.
#2 Mecachis,... lo que tiene hablar y no saber.
¿Podrías mirar la lista de Mozilla y ver el show que dan las empresas externas al negociar meter ese certificado en mozilla?
Si eres de mente abierta igual hasta cambias de postura.
#8 Es alucinante el cariño que le tenéis a los funcionarios en esta web. No sé qué hacen aquí con sus 24k€ de mierda al año cuando podrían estar en Silicon Valley cobrando 250k$.
#48 Ah, sigues aquí.
Has leído ya la lista de correo?
#48 #8 con lo divertido que es hablar sin tener ni idea ( y sin probablemente haberse molestado en leer la noticia tambien) ..., no le rompáis la ilusión al pobre, si eso le hace feliz y le mantiene tranquilo dejadlo que disfrute un poco
#8 Yo sólo sé que usar las webs de la administración suele ser un dolor. Unas requieren java de una versión concreta, otras, otra versión, algunas, sólo determinados navegadores y determinadas configuraciones de seguridad. Ya podían homogeneizar criterios y sistemas. Y no lo digo desde el punto de vista de un particular, que es aún peor, sino desde el punto de vista de un informático que lleva el mantenimiento de la red de un par de asesorías que usan las webs de la administración local, autonómica y estatal de forma cotidiana. Ni queriendo se consigue hacer un sistema menos práctico.
#66 Ya, es lo que tiene subcontratar. A la empresa que hace la web lo único que le importa es ser capaz de que te quedes atado a lo que ellos han hecho.
#21 No. Tienes que rezar a todos tus dioses porque la cosa va por barrios.
La UNED es el ejemplo de cómo se hacen bien las cosas. De ahí para abajo todos.
Ejemplos para llorar: ministerio de interior, trabajo y la APD. La fiesta que tienen liada con el Java es de enmarcar. Cc #66
#76 Cuando además el java no funciona ya en algunos navegadores, y muchas empresas aún tienen XP Profesional en el escritorio. Con que lo hicieran todo compatible con Firefox, ya no habría problemas de java, Windows, Linux... Software libre para todos. Pero no, aún hay administraciones que te dicen "sólo Internet explorer", tristemente.
#2 El problema no es si son funcionarios o entrepeneurs. El Problema (the big problem) viene de dejarlo todo sin control y sin una legislación. Listillo liberaloide. Ahora vas y lo llamas problema ideológico, salao. Mientras trabajas y haces publicidad para los nuevos señores feudales que te explotan y nos explotan.
#43 Claro socialistillo, el Android y el iOS funcionan porque hay una legislación que así lo dicta.
#49 socialistilla tu PM
#49 ¿Donde vas a curarte cuando enfermas?
#2 Espero que no tengas nunca un incendio en casa y tengas que llamar a unos "funcionarios" para que te lo apaguen.
#2 Pues qué raro que haya gobiernos autonómicos que tienen sus certificados reconocidos por Mozilla desde hace eones.
#1 Si lees el hilo de bugzilla, hay un momento en que les piden una url para descargarse el CLR el 02-12-2008 y les contestan con la URL el 11-11-2009, casi un año después
#3 Es espeluznante:
#31 "We are agree"
#1 El retraso se debe en parte a la laxitud funcionaria, pero también a que desde Mozilla han tardado un infierno en moverse. La demostración simple es que en Chrome e IE hace tiempo (mucho) que no hay problema para utilizar los certificados de la FNMT.
#16 Yo solo copio:
This bug has been opened for more than a year now, following another previous one, and the delays caused by both sides have been these to date:
Mozilla
-------
26/05/2008 (#5) --> 12/06/2008 (#6): 17 days
12/06/2008 (#6) --> 02/10/2008 (#10): 30 + 31 + 31 + 21 = 114 days
Mozilla total: 131 days
FNMT
----
02/10/2008 (#11) --> 01/12/2008 (#12): 31 + 29 = 60 days
02/12/2008 (#13) --> 12/03/2009 (#17): 31 + 31 + 28 + 10 = 100 days
12/03/2009 (#13) --> Today: 31 + 30 + 19 = 80 days
FNMT total: 240 days
Grand total: 371 days
Even if 131 days is proof that Mozilla needs reviewing his process to get CAs accepted, the 240 days delay by FNMT, 180 days without a single commment, is completely unacceptable.
El log no menciona dinero ni pagos ni nada parecido en ningún momento.
#37 Porque un ”bug tracker” no está para explicar pagos o cuestiones no técnicas, es evidente.
Sea como sea, ese log demuestra que Mozilla tenía la aprobación de la FNMT como CA desde hace ocho años. Si eso a ti no te dice nada...
#38 Mira el resto del log, anda.
#67 ”El log no menciona dinero ni pagos ni nada parecido en ningún momento”.
Lo has dicho tú mismo, chato.
#37 ¿Qué podría salir mal?
#10 IE utiliza los del sistema.
Chrome su no me equivoco también.
Así que si Microsoft los acepta Chrome los acepta, si Microsoft la caga aceptando algo que no debe los usuarios de Chrome están jodidos por haber dejado su navegador en manos de otros algo tan delicado.
Lo cual no es escusa para no revisar el proceso de Mozilla, que seguramente tengan que mejorar y agilizar.
#75 Chrome no es sólo para Windows, también funciona en Linux, OSX, Android... Yo mismo utilizo certificado digital en mi móvil, sin ir más lejos.
Sea como sea, lo que dices también podría haberlo hecho Firefox y así solventar el problema, si hubiera habido interés.
#90 Chrome en linux no pirula con la FNMT. Si lo hace en Windows es porque usa los certificados del sistema operativo.
#90 Más bien dejadez en el interés de proteger al usuario.
Prefiero que no dejen en manos de otros algo tan delicado.
#1 que atrevida es la ignorancia. Antes de comentar es importante saber de qué se habla majo. Mozilla ha estado poniendo palos en las ruedas desde tiempos inmemoriales, sobretodo cuando no se ha querido entrar al juego de Mozilla (cantidades de dinero absurdas)
#16 ¿algún enlace que hable de esas cantidades de dinero?
#28 #78 #85 Josmios...¿De verdad pensais que el dinero al que se refiere #16 es uno que se pone en las condiciones?¿Pensais que en las licitaciones aparecía que debian dar un 3% a los Puyol?
Cuando conozcais las mafias de las CA flipareis...o eso dicen los mentideros.
Las empresas se embolsan un paston por emitir certificados(de 300€ a 3000€ al año y web) pero estos certificados no sirven de nada si el navegador no acepta el certificado añadiendolo a una lista de certificados autorizados. Si una web decide usar un certificado que no está en esa lista, el navegador muestra al usuario un "Certificado no verificado. Sácame de aquí o navega bajo tu responsabilidad". Por lo que el dueño de la web debe pagar los 300€ por el certificado a una empresa autorizada por el navegador y dicen (o eso parece) que los navegadores aceptan propinas de estas empresas para "agilizarles el proceso" de incluirles como autorizados.
Si la empresa que venden certificados cobra un paston por ellos, los navegadores quieren su parte del pastel por incluirles en la lista. ¿Quieres ser incluido?Pues paga. De hecho es una forma de bloquear que entren decenas de empresas certificadoras, permitiendo que los certificados sigan vaiendo un pastón, y que los navegadores se lleven su parte del pastel. O eso dicen los mentideros.
Como la FNMT no ha querido pasar por el procedo rapido pues le ha tocado pasar por el proceso lento.
¿O como pensabais que ganaban pasta los navegadores?Sobre todo antes que no espiaban ni trackeaban al usuario...
#94 incluir un certificado lleva tiempo como explican en el wiki de Mozilla.
https://wiki.mozilla.org/CA:How_to_apply#Timeline
El mínimo que puede tardar es 8 meses porque prima hacer bien las cosas frente a que haya millones de entidades certificadoras que no guarden a buen recaudo sus claves privadas y pasen cosas como esta:
https://blog.mozilla.org/security/2011/03/25/comodo-certificate-issue-follow-up/
Mientras no se use DANE o un sistema verdaderamente eficaz que evite que una CA pueda liarla parda y comprometer cualquier dominio hay que hacerlo así.
Lo que dices es una suposición, como suponer que si sobornas al cirujano que te va a operar va a hacerlo mejor.
#94 Madre mía, si estás pagando 300€ por cada certificado algo haces mal. Trabajo con esto y por la mayoría de nuestros certificados no pagamos (Let's Encrypt o Amazon Certificate Manager, antiguamente StartSSL). Solo con EV puedo entender que pagues más, aunque en muy pocos casos necesitas EV. Si pagas 3000€, te están timando.
Pero es que además conseguir un certificado para una web y lo que está haciendo aquí la FNMT son procesos totalmente distintos. Estás acusando gratuitamente y sin ningún fundamento de corrupción a Mozilla Foundation, una de las organizaciones más transparentes que te puedes encontrar.
Y dices que "es una forma de bloquear que entren decenas de empresas certificadoras". WTF. Hay actualmente 174 CA que vienen preinstaladas con Firefox (https://wiki.mozilla.org/CA:IncludedCAs).
Además que ser una CA es una resposabilidad muy grande actualmente. Si no, mira por ejemplo el caso de StartCom/WoSign (https://wiki.mozilla.org/CA:WoSign_Issues).
#28 Yo sí lo había oído por otro lado, de un amigo que trabaja con la FNMT en el tema de certificados.
#16 ¿Pero de qué dinero hablas? Madre mia...
#16 ¿De dónde sacas que Mozilla cobra por la inclusión de nuevos certificados en su navegador?
Aquí informan de cómo es todo el proceso y no aparece:
https://wiki.mozilla.org/CA
Todo el sistema de certificados de la FNMT es una soberana mierda. Yo solicité en su día el certificado digital para no tener que emplear el lector de DNI-E. Todo iba de maravilla hasta que se inventaron la mierda esta de Pasarela CLAVE, ahora falla más que una escopeta de feria.
Tanto es así, que he optado por tirar de clave permanente con PIN que por lo menos entra a la primera, aunque tengan que enviarme un código al móvil cada vez que hago login...
Con lo fácil que era antes seleccionar la opción de certificado/DNI-E y listo. Pero no, tenían que cagarla.
#7 pero no lo entiendo. Puedes extraer el certificado del dni en 5 minutos y dejarlo como un certificado digital normal.
#9 Qué te quieres apostar a que no puedes?
#13 ¿no es esto?
https://www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-con-dnie
#47 No, además, el concepto de smartcard en el DNIe es justamente evitar que puedas sacar las llaves de dentro, así que "Puedes extraer el certificado del dni" va justamente contra el principio básico de diseño de la plataforma.
Tu enlace habla de obtener un certificado de la FNMT, tal como puedes apreciar en la URL.
Vamos, que ya te han contestado a #46 en #52.
#13 eso que dices es una barbaridad. Puedes exportar la llave publica, pero no la privada porque no existe.
#51 Me lo dices a mí? (#13)?
#71 tienes razon, se lo decia a #9
#9 estás seguro de eso?
#27 hombre, si, yo he sacado de mi dni-e el certificado para exportarlo a varios ordenadores. No sé si es que no estamos hablando de lo mismo.
https://www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-con-dnie
#46 eso es obtener el certificado digital de la fnmt, que es un certificado diferente al de tu DNIe però que igualmente sirve para identificarte.
Si se pudiera sacar el certificado de dentro del DNI sería un problema de seguridad muy grave
#52 fue un problema de elegir las palabras para explicarlo, más bien.
En todo caso, ¿lo que yo digo no es lo que quería #7 ?
#64 No, eso es lo que él dice que estaba usando, pero que ahora le da problemas.
#7 Yo sin embargo no he tenido ningún problema para utilizar el certificado de la FNMT en administraciones que usan Clave también.
#9 que barbaridad acabas de decir sin saberlo
#9 No se puede extraer la clave privada de una tarjeta criptográfica, ni del DNI ni de ninguna, por definición. Si se pudiera, no sería una tarjeta criptográfica.
#7 Totalmente de acuerdo. Jodida@CLAVE.
#7 Que yo sepa, todas las gestiones que pueden hacerse con CLAVE pueden hacerse también con certificado digital. Son dos opciones de identificación para hacer las mismas cosas, nadie te ha obligado a usar una en vez de la otra.
#15 El programa de garantía juvenil por ejemplo tiene deshabilitado el certificado digital...
#24 Ejem... ¿Seguro?
https://garantiajuvenil.mtin.gob.es/garantiajuvenil/nuevaSolicitud
Todas las gestiones que pueden hacerse con CLAVE pueden hacerse con certificado digital.
#33 Cuando intento entrar con Certificado salta este error: ReferenceError: Can't find variable: MiniApplet
Si intento entrar con certificado a través del sistema CLAVE no aparece la opción.
Puede ser problema de mi navegador, pero por ejemplo en la web de la DGT funciona perfectamente...
#60 Mira a ver que no tengas una extensión del navegador que te esté capando algo vital. Desactiva antianuncios, antiscripts y antitodo en las webs de la administración, que están hechas con el culo y son muy delicadas.
#60 ¿Qué navegador usas? El MiniApplet necesita Java, y hace más de un año que Chrome dejó de soportar Java, tienes que usar Firefox o Explorer. Si aún así sigue fallando, vete a la configuración del Java, a la pestaña de Seguridad, y mete la web a la que accedes como sitio de confianza.
#24 Yo lo he usado con el certificado. En Internet Explorer en Windows 10.
#15 No todas.
Si vas a la página de la seguridad social hay algunas operaciones que solo admiten certificado.
#77 ¿Qué parte de lo escrito en #15 es la que no has entendido? He dicho que las que pueden hacerse con CLAVE también pueden hacerse con certificado, no al revés.
#93 La parte en que eso tampoco es cierto.
Por ejemplo, si quieres obtener el "Informe de estar al corriente en las obligaciones de la Seguridad Social"
Pues autentificar con clave o sms (accedes a él directamente) o sin certificado (te lo envían a tu domicilio).
Pero no tienes opción de usar certificado digital.
Son así de especiales, ya ves.
#7 #19 exacto
#7 Si tienes DNIe, no puedes exportar ese certificado, pero puedes solicitar uno "idéntico", gratis y al momento -> https://www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-con-dnie
Y te olvidas del lector de DNI y todas sus complicaciones
#7 estás mezclando churras con meninas.
Cl@ve puede utilizarse con certificado, pero también sin él.
Todo lo que se puede utilizar con certificado se puede utilizar con cl@ve, no al revés. Cl@ve, por decirlo de alguna manera, pretende simplificar al ciudadano el uso de la administración electrónico (sobre todo para los que no tienen certificados tradicionales", pudiendo utilizar otras formas de autenticación y firma más laxas (como PIN24).
De hecho, hablas de Clave permanente, que también se puede utilizar dentro de cl@ve.
En resumen, llevas un cacao en tu cabeza mezclando tecnologías y echando la culpa a cl@ve de los certificados de la FNMT, cuando son organismos distintos.
Soy el primero en decir que hay mucho que mejorar en la FNMT (desde fuera, no trabajo allí), pero tu comentario indica que no terminas de conocer de qué hablas.
Y posiblemente sea fallo de la administración (por no haberlo explicado bien).
#62 Querrás decir "mezclar churras con merinas"
#65 cierto :), pero al final, una mezcla que no mezcla igualmente
#62 Se lo que es Cl@ve, de hecho lo has explicado perfectamente. Un sistema que permite acceder a las funciones de la administración electronica sin necesidad del DNIe o del certificado de la FNMT.
El problema reside en que muchas webs de las administraciones han sustituido el acceso por certificado directo a través de la pasarela Cl@ve (que como bien dices, puedes usar clave PIN, clave permanente, o Certificado/DNIe).
Por ejemplo, la página del MECD (antes podías acceder con un login de usuario/contraseña a los niveles de autenticación 1 y con Certificado digital o DNIe a los de nivel 2). Ahora para acceder al nivel 2 tienes que entrar si o si por la pasarela Cl@ve, y aunque uses la opción de certificado digital falla cada 2 por tres (o "ha ocurrido un error", o bien la autenticación ha fallado).
De media, cada vez que acceso tengo que recargar la página 3 veces para que se cargue correctamente. Puede ser debido a mi navegador o S.O. (Safari y OSX), ya que la administración suele hacer las cosas a medias y compatibles con muy poca cosa (por ejemplo la noticia que tu has publicado), sin ir mucho más lejos hasta hace un par de años muchas de las funciones debían hacerse si o si a través de iExplorer...
#82 mejor explicado ahora
Y sí, por desgracia queda mucho que mejorar en la administración y la compatibilidad. Pero precisamente cl@ve es una puerta a la mejora del futuro, pues una página es la que aglutirará toda la autenticación de la administración, permitiendo que no tenga cada organismo que implementar la suya propia.
Esto podría suponer que errores como los que comentas arreglándose en cl@ve se arreglen para toda la administración, y teniendo "bien pulida" cl@ve tendríamos un sistema de acceso no perfecto, pero sí lo suficientemente bueno.
#7 Pues yo estoy contentísimo con lo de Cl@ve. El resto de cosas las utilicé también en un momento u otro, pero Cl@ve no me ha dado problemas.
Barrapunto, cuánto tiempo sin saber de ella... Qué recuerdos!
Y qué curioso agregar una noticia del que fue antes agregador de noticias.
#5 Asocio Barrapunto a KDE3, Bilo y Nano, HackLabs y años que nunca volverán
En la FNMT son autistas que hacen sus cosas y el resto se jode.
El driver opensc del DNIe sigue sin estar en upstream.
#4 Falso, ayer compilé e instalé el master de opensc y funcionó con un DNIe 3.0 nuevo, de hecho, los commits apuntan a que hay soporte oficial des de octubre-noviembre 2016, ale.
#11
Falso, Ubuntu 16.10 no tiene el driver dnie integrado.
#18 Falso, fué en un Kubuntu 16.04 LTS que aproveché para pasar a 16.10 ya opensc 0.16 sólo está para el 16.10. el kernel que usaba el 16.04 ya incorporaba el driver del lector y no dió ningún problema, eso sí, tuve que instalar los paquetes pertinentes.
#11 Pues te felicito. He intentado instalar el puñetero certificado y al final desistí. Entras en un bucle infinito y nadie soluciona nada. Y es más...Hasta me decía el navegador que el sitio no era seguro. Pa cagarse.
#19
Si quieres usar el DNIe debes hacer dos cosas:
* Instalar los certificados de la FNMT y de la policía.
* Instalar el driver del DNIe.
Con eso está todo listo.
#21 Seguí paso por paso todas las instrucciones...Y al final el navegador me avisaba que el sitio no era seguro.
Les escribí y me contestaron una cosa completamente absurda sobre algo que no tenía nada que ver.
Tengo otros certificados instalados y no son tan chorras como este.
#23
Si te dice que la conexión no es segura eso es de la web, no del DNIe. Y eso además significa que no tienes todos los certificados instalados en el navegador.
Si consigues instalar el certificado y el DNIE te convalidan FP2 de administración de sistemas en red
#26 Pues yo suspendí. Sí que instalé el certificado, pero nada que hacer con el DNIe.
Qué pesadilla, todo lo de los certificados. Para informáticos y no informáticos.
Pero si el otro día decían en el meneo de la desaparición del programa PADRE que el certificado digital de la FNMT funcionaba estupendamente en Firefox!
hacienda-publica-calendario-contribuyente-2017-desaparece-padre/c049#c-49
Hacienda publica el calendario del contribuyente 2...
europapress.eshacienda-publica-calendario-contribuyente-2017-desaparece-padre/c057#c-57
#12 Nada impedía añadir la FNMT como certificador de confianza. El cambio es que ahora viene añadido por defecto.
#12 yo lo tengo instalado en firefox y he hecho la declaración de IVA sin problemas. eso sí, me costó la vida conseguir instalarlo.
Cero empatia con los funcionarios. Cualquiera que trabaje como proveedor para la admon publica puede estar horas describiendo como tiran el dinero
Barrapunto siegue existiendo. Me he quedado muerto.
#39 yo la visito a veces
#39 Si conoces Barrapunto morirás pronto de viejo, no tengas prisa.
#56 Cabrón .
#56 Según la prensa en España somos todos jovenes.
maldita pesadilla que son los certificados del copón
q movidas con los certificados de la administración, la de tiempo que han hecho perder a los ciudadanos de este país
#34 Más tiempo hacían perder cuando no los había, que para cualquier gestión de mierda había que personarse en las oficinas de la administración pública y después esperar semanas.
#36 no me has entendido.
los certificados son un avance, pero la implantación desarrollada en el sector público, ha sido cuanto menos cuestionable.
Es el año de mozilla en el escritorio.
No entiendo tu dificultad.
Pedí mi certificado, hice los trámites, hice una copia de él con clave, y lo uso dónde quiero.
Nunca es tarde si la dicha es buena.... o no
El problema es que Firefox no emplea los certificados raíz del sistema operativo como si lo hacen de forma lógica otros navegadores (Chrome, ie...). El problema subyacente si queréis es la forma en la que funciona la PKI y su centralización. Pero echar la culpa de todo a los funcionarios sin seguramente tener ni idea de como funciona la administración es de un nivel de todología que asusta.
comentario borrado
#59 Para que el navegador reconozca un certificado como válido tiene que estar firmado por una autoridad de certificación válida. Dichas autoridades de certificación pueden venir "preinstaladas" con el propio navegador o las puede añadir el propio usuario. En el caso de los certficados de la FNMT sucedía que estaban firmados por una autoridad de certificación no preinstalada en el navegador y era necesario realizar este trámite manualmente, de lo contrario no era posible utilizar un certificado expedido por la Administración Pública, o incluso entrar en determinados sitios web oficiales sin que el navegador mostrase una advertencia de seguridad. Aunque la configuración de los certificados no es algo excesivamente complicado, esto suponía sin duda un problema para muchos usuarios sin conocimientos de informática, para los cuales todo esto debería ser transparente y funcionar sin más.
#61 Entendido, efectivamente, tenías que estar dándole a "agregar excepcion" cada vez que intentabas usarlo, pensé que sería algo normal Gracias!
soy nuevo, me registe ayer , me gusta la idea de la comunidad , me podría explicar alguien como va esto , es que ni puedo votar ni puedo crear un sub , tenia pensado crear uno jurídico para resolver dudas y compartir conocimientos , o que alguien lo cree ya que yo o puedo
gracias a todos
#74 tienes que revisar las ultimas noticias enviadas. Si alguna es de un medio del regimen (AEDE) tienes que votar negativo.
lista de medios pro regimen:
https://gist.github.com/oneeyedman/1ec1b2acbf77cb93fce9
#81 como voto?
como creo sub?
mo se mandan mensajes privados a oros usuarios ?
gracias
#83 No podrás votar hasta que tengas suficiente "karma" (tu valoración como usuario, por así decirlo).
Mejor léete esto: http://meneame.wikispaces.com/Comenzando