Portada
mis comunidades
otras secciones
#4:
#2 He tenido que lidiar con la actualización de certificados para varios clientes particulares y empresariales.
Es absolutamente demencial.
Hasta para mi, que trabajo en temas de seguridad informática y llevo pegándome con certificados desde hace más de 15 años, en ocasiones me ha costado un dolor de cabeza.
Para usuarios particulares es complemente inviable.
No es mínimamente presentable la situación de la FNMT.
Un usuario doméstico (o muchos empresariales) no tienen que tener conocimientos avanzados de administración de sistemas para instalar o actualizar un certificado. Y menos a costa, a día de hoy, de tener que reducir los niveles de seguridad y protección del navegador, tal y como está el patio.
No es de recibo, sobre todo como dice #3, cuando la administración te exige, no recomienda, exige, disponer de un medio de acreditación de la identidad electrónica.
Es absolutamente demencial.
Hasta para mi, que trabajo en temas de seguridad informática y llevo pegándome con certificados desde hace más de 15 años, en ocasiones me ha costado un dolor de cabeza.
Para usuarios particulares es complemente inviable.
No es mínimamente presentable la situación de la FNMT.
Un usuario doméstico (o muchos empresariales) no tienen que tener conocimientos avanzados de administración de sistemas para instalar o actualizar un certificado. Y menos a costa, a día de hoy, de tener que reducir los niveles de seguridad y protección del navegador, tal y como está el patio.
No es de recibo, sobre todo como dice #3, cuando la administración te exige, no recomienda, exige, disponer de un medio de acreditación de la identidad electrónica.
#1:
Recomiendan desconectar el antivirus e instalar software antiguo para instalar un certificado digital OBLIGATORIO para empresas, ¿qué podría ir mal?
#33:
#10 El problema es que la FNMT usaba el tag html keygen,que ya no es parte del estandar HTML, un tag HTML inventado por Mozilla creado para generar y guardar certificados digitales del lado cliente, no se trata de la clave privada del certificado de la FNMT es diferente. Keygen llegó a ser parte del estándar HTML e incluso Chrome llegó a soportarlo, pero fué eliminado del estándar al ser un sistema poco seguro. En esencia, lo que hacía es que el navegador generaba un par de clave pública y privada, pasándole la clave pública al servidor.
FNMT usa ese elemento para identificar al navegador cuando vas a solicitar el certificado digital, de ese modo el certificado solo puede ser descargado desde el equipo y navegador que inició la solicitud. La idea es buena, pero los problemas de seguridad que conllevaba esa etiqueta (en esencia le da al navegador la posibilidad de modificar el SO al añadir un certificado sin que el usuario se entere ni lo autorice. Además, el estándar de keygen usa algoritmos de encriptación poco seguros(MD5). https://lists.w3.org/Archives/Public/www-tag/2015Sep/0001.html
En el caso de explorer lo que usan es un complemento active X(CertEnroll/XEnroll), por eso sigue funcionando. En cualquier caso, si obtienes el certificado con Explorer puedes usarlo en otros navegadores sin problemas, no necesitas usar versiones antiguas de navegadores ni seguir usando el explorer.
FNMT usa ese elemento para identificar al navegador cuando vas a solicitar el certificado digital, de ese modo el certificado solo puede ser descargado desde el equipo y navegador que inició la solicitud. La idea es buena, pero los problemas de seguridad que conllevaba esa etiqueta (en esencia le da al navegador la posibilidad de modificar el SO al añadir un certificado sin que el usuario se entere ni lo autorice. Además, el estándar de keygen usa algoritmos de encriptación poco seguros(MD5). https://lists.w3.org/Archives/Public/www-tag/2015Sep/0001.html
En el caso de explorer lo que usan es un complemento active X(CertEnroll/XEnroll), por eso sigue funcionando. En cualquier caso, si obtienes el certificado con Explorer puedes usarlo en otros navegadores sin problemas, no necesitas usar versiones antiguas de navegadores ni seguir usando el explorer.
#3:
#2 diox mio, ¿así que la culpa es que vamos demasiado rápidos con las actualizaciones?
Hablamos de certificados digitales que la Administración OBLIGA a tener. Y que se supone que mejoran la seguridad precisamente. Y por eso hay que usar software anticuado. Por cierto, la versión 69 salió en mayo de este año https://wiki.mozilla.org/Releases/Firefox_69 y tampoco está soportada. (perdón, corrijo, es de septiembre, es cierto)
Tampoco se puede usar Chrome.
Pero la culpa es nuestra, que vamos como locos ...
Hablamos de certificados digitales que la Administración OBLIGA a tener. Y que se supone que mejoran la seguridad precisamente. Y por eso hay que usar software anticuado. Por cierto, la versión 69 salió en mayo de este año https://wiki.mozilla.org/Releases/Firefox_69 y tampoco está soportada. (perdón, corrijo, es de septiembre, es cierto)
Tampoco se puede usar Chrome.
Pero la culpa es nuestra, que vamos como locos ...
#15:
Todos los abogados de Cataluña han de tener el navegador desactualizado, y usar el programa de hace unos 4 años (por ejemplo un FirefoX de 2.015) , porque sino no funciona en la plataforma EJUSTICIA de la Generalitat, que costó centenares de millones de euros.
Putos inútiles, putos ladrones.
Putos inútiles, putos ladrones.
#102:
#53 Este caso (un sistema de certificados personales que no funcionan en navegadores modernos y dan problemas en los viejos) no tiene nada que ver con la noticia que enlaza, que fue una metedura de pata de Mozilla, sí, pero una que arreglaron tras 4 cuatro días.
Los problemas con los certificados de la administración pública se remontan al amanecer de los tiempos, y no parece que estén dispuestos a solucionarlos.
Los problemas con los certificados de la administración pública se remontan al amanecer de los tiempos, y no parece que estén dispuestos a solucionarlos.
#36:
La verdad es que en este caso concreto me pongo del lado de la FNMT. Firefox quitó el soporte para el tag keygen menos de 1 año después de haber públicamente dicho que no lo iban a quitar. https://github.com/solid/solid/issues/134#issuecomment-443922803
Chrome ya lo había quitado hace tiempo pero la verdad es que actualmente NO hay alternativa. https://security.stackexchange.com/questions/106257/alternatives-to-htmls-deprecated-keygen-for-client-certs
Por alguna razón que desconozco los navegadores se están poniendo en contra de los estándares de PKCS mientras aplauden cosas como WebAuthn que están básicamente atadas a los navegadores (a ver quien es el guapo que exporta una clave privada de ahí...).
Chrome ya lo había quitado hace tiempo pero la verdad es que actualmente NO hay alternativa. https://security.stackexchange.com/questions/106257/alternatives-to-htmls-deprecated-keygen-for-client-certs
Por alguna razón que desconozco los navegadores se están poniendo en contra de los estándares de PKCS mientras aplauden cosas como WebAuthn que están básicamente atadas a los navegadores (a ver quien es el guapo que exporta una clave privada de ahí...).
#23:
Lo de los certificados de la FNMT es de traca, su CA estuvo AÑOS fuera de las trusted de los navegadores porque no les daba la gana hacer la gestión. Lo de esta gente es desidia llevada al extremo.
¡Vergüenza!
¡Vergüenza!
#30:
"Hemos detectado que usted no ha seguido las instrucciones para solicitar el certificado con el DNIe y está utilizando un navegador no soportado".
La primera versión del mensaje acababa con ", gilipollas", pero al final se cortaron...
En serio, qué mensaje más prepotente y subnormal, además viniendo de unos completos inútiles
La primera versión del mensaje acababa con ", gilipollas", pero al final se cortaron...
En serio, qué mensaje más prepotente y subnormal, además viniendo de unos completos inútiles
#54:
#31 Es otro problema.
FNMT es una agencia certificadora, o sea, es una empresa que certifica que tu eres tu a traves de un certificado digital que ellos emiten a tu nombre.
- para empezar tu navegador debe generar una pareja de clave publica/privada y comunicar la publica a la FNMT.
- despues debes demostrar tu identidad ante la FNMT, para esto puedes llegarte a una oficina habilitada por la FNMT para validar tu identidad (las oficinas de hacienda y seguridad social, principalmente), O BIEN, usar tu DNI electronico que YA DEMUESTRA que tu eres tu, ya que esta emitido por la policia nacional.
- para terminar, te descargas el certificado digital emitido por la FNMT en tu PC.
a efectos practicos, tienes dos certificados digitales (el de la FNMT, y el del DNIe), pero es que la mayoria de webs estatales, solo trabajan bien con el de la FNMT.
FNMT es una agencia certificadora, o sea, es una empresa que certifica que tu eres tu a traves de un certificado digital que ellos emiten a tu nombre.
- para empezar tu navegador debe generar una pareja de clave publica/privada y comunicar la publica a la FNMT.
- despues debes demostrar tu identidad ante la FNMT, para esto puedes llegarte a una oficina habilitada por la FNMT para validar tu identidad (las oficinas de hacienda y seguridad social, principalmente), O BIEN, usar tu DNI electronico que YA DEMUESTRA que tu eres tu, ya que esta emitido por la policia nacional.
- para terminar, te descargas el certificado digital emitido por la FNMT en tu PC.
a efectos practicos, tienes dos certificados digitales (el de la FNMT, y el del DNIe), pero es que la mayoria de webs estatales, solo trabajan bien con el de la FNMT.
Comentarios
Recomiendan desconectar el antivirus e instalar software antiguo para instalar un certificado digital OBLIGATORIO para empresas, ¿qué podría ir mal?
#1 y luego se funden la pasta pública en 'fomentar' la seguridad digital de las empresas y presumen de ser un país a la vanguardia de la 'transformación digital'
#1 Webs de la administración, un dolor de cabeza, excepciones de java, y cosas por el estilo que se rompen con cada actualización.
Lexnet lo mejor que hizo es hacer una app guarra en java, que va de pena pero mucho mejor que su web
#1 doy fe. Sólo uso Linux y tuve que pedirle a la gestoría que me realizara la puñetera renovación.
#20 Para estas cosas tienes que tener un windows en una máquina virtual.
#20 vale que no es cosa de dos clicks, pero en Linux se puede hacer y es casi más fácil que en Windows porque es sencillo instalarse en Firefox 69
#121 #20 me pasó hace unos años de tener que bajarme el Windows XP pirata para instalarlo en una máquina virtual solo para tener el IE para renovar el certificado.
Hace unos meses también me las vi para firmar en Debian una solicitud de registro de marca en la Oficina Española de Patentes y Marcas. De hecho no se fue con Firefox o Chrome, pero con uno no pude firmar.
#1 Lo de las administraciones en temas telemáticos es de pena.
Se nota que enchufan a familiares y amigotes, especialmente en el ámbito municipal.
#22 has dado en el clavo
#60 Pues no, para nada ha dado en el clavo. De hecho, va totalmente desencaminado.
#22 Tienes razón. Dan pena, solo están los enchufados, que sí ellos, y a si mismos, les funcionan el asunto.
Para los mortales como nosotros, nanay de la china.
#22 ¿En el municipal? El jefazo supremo del departamento de informática de la Generalitat Valenciana era un funcionario que había ascendido por antigüedad y tenía conocimientos medios de ofimática. Salió en prensa. De llorar mucho.
#121 Para estas cosas están nuestros impuestos.
En la AEPD, hace unos meses, no pude poner una reclamación porque la validación de campos en Javascript estaba mal y llevaba así desde hacía un mes. Le pregunté al técnico con que hablé si era él el responsable, para poner o no una queja, porque el hombre no podía estar más avergonzado y no quería ponerla si iba a ser contra él.
Me explicó que no era él el responsable, pero que los que desarrollan la página son todos becarios. No puse la queja porque entendí que no es un fallo puntual sino algo estructural del sistema y eso hace ya tiempo que lo doy por perdido.
#22 No me extrañaría que también haya bastante de eso.
#1 Creo que esto sólo afecta a los usuarios de DNIe. Los certificados software (que son los que usan las empresas) se solicitan en físico y lo descargas en un ordenador. Luego tienes que usar esa maravilla llamada autofirma para todos los trámites, pero al menos funciona en (casi) todos los sistemas.
#52 Que problema exactamente hay con el dnie?... ahora mismo el driver viene de serie en Linux y los certificados los actualizas en una máquina en comisaría.....
#52 nop, para renovarlo me pedían mozilla 68 o anterior o iexplorer
#1 Qué sencillo es culpar a la administración por todo ¿verdad? La realidad es que esto es una cagada por parte de la fundación Mozilla, que dejó expirar un certificado sin renovarlo a tiempo.
https://www.engadget.com/2019/05/03/firefox-extension-add-on-cert/
#53 las web de la administracion , seguridad social ,casa de la moneda, dni, ministerior del exterior son basura, ergo si es fácil culpar a la panda de enchufados que las llevan
#62 Las llevan empresas externas como Indra, Everis, Software AG,...Y es normal que las critiques. No tienen ningún interés en el servicio público solo en ganar dinero.
En realidad estás haciendo un elogio de los funcionarios. Cuando el desarrollo era asumido por los funcionarios todo funcionaba mejor a pesar de que la tecnología antes no permitía cosas que ahora sí podrían hacerse.
#53 Este caso (un sistema de certificados personales que no funcionan en navegadores modernos y dan problemas en los viejos) no tiene nada que ver con la noticia que enlaza, que fue una metedura de pata de Mozilla, sí, pero una que arreglaron tras 4 cuatro días.
Los problemas con los certificados de la administración pública se remontan al amanecer de los tiempos, y no parece que estén dispuestos a solucionarlos.
#53 amen a un no hater por desgracia hay mil notengoniideaDeLoQueHablo pero el titular sensacionalista me lo creo sin pensar
#53 Totalmente no relacionado, eso fue un error de mozilla que deshabilitó los addons durante una semana hace unos meses, no tiene nada que ver con la situación de la que habla el artículo.
#53 eh? La fundación Mozilla es responsable de controlar los certificados que incluye de.serie? Estamos locos?
#53 Vaya cacao tienes, eso fue el certificado para instalar addons, para nada el de la FNMT
#1 Máquina virtual, se que soy muy pesado, pero es lo único que me ha funcionado durante varios años sin joderse.
#96 Maquina virtual + Pihole es mano de santo y a ser posible en Docker:
- https://hub.docker.com/_/ubuntu
- https://hub.docker.com/r/pihole/pihole
#99 VirtualBox es vuestro amigo.
#1 Yo sé de una administración donde los empleados usan una versión de 2016 de Firefox y cuando tienen que consultar sus propias webs para resolver dudas al ciudadano les sale el mensaje de que la web es incompatible con navegadores antiguos
#1 Pasa en todas las sedes electrónicas de la AGE. La razón es que los navegadores modernos no admiten applets.
#1 es que es un certificado que no es un certificado oficial de ningún navegador, es vergonzoso. Con Mac es una locura sacarse el certificado dado que no existe internet explorer y bajar a una versión anterior en firefox, desconectar firewall... es vergonzoso
Todos los abogados de Cataluña han de tener el navegador desactualizado, y usar el programa de hace unos 4 años (por ejemplo un FirefoX de 2.015) , porque sino no funciona en la plataforma EJUSTICIA de la Generalitat, que costó centenares de millones de euros.
Putos inútiles, putos ladrones.
#15 nosotros llamamos a los técnicos porque yo era incapaz de hacerlo funcionar.
Ves como se conecta el técnico de la administración con el TeamViewer, e instala los certificados a mano en Firefox para que funcione, yo flipando y preguntándole que que mierda era eso.
La única forma de que funcione.
Portátil del abogado en su propia vlan......
#17 Hombre... ¡Hasta yo lo hago enseguida, y sin necesidad de técnicos! El caso es, que es un poco farragoso al tener nuestros navegadores muy actualizados (no es mi problema).
Pero reconocen que tienen un problema con las nuevas versiones y no con las viejas versiones. Ya se enteran de ello por otras vías.
#75 Hombre tener el Chrome actualizado con las admx es muy fácil.
Con Firefox tenías el archivo prefs, ahora han sacado admx al final, aún no he jugado con ellas.
Tener el Firefox Java y demás, actualizado por seguridad y pelearte con la administración porque requiere versiones antiguas.
O el Java 32, que como pongas el 64 no funciona
#15 la podéis llamar plataforma INYUSTISIA
#59 no te voto negativo porque tu comentario no atenta contra las normas, pero ganas dan . Mira que es cutre la broma. Sólo puede hacer gracia a quien no sabe pronunciar el sonido /ʒ/ .
#67 sabes que la broma es por el meme de Cristiano Ronaldo diciendo eso, no?
#70 Pues no tenia ni idea
#72 a meneame hay que venir con 1º de memes aprobado
#6 La culpa es única y exclusivamente de la FNMT, no le des más vueltas.
Lo de los certificados de la FNMT es de traca, su CA estuvo AÑOS fuera de las trusted de los navegadores porque no les daba la gana hacer la gestión. Lo de esta gente es desidia llevada al extremo.
¡Vergüenza!
#23 Aún recuerdo cuando todos los sitios oficiales del gobierno daban error de certificado al entrar.
#35 Alguien consideró que el estado era autoridad suficiente para certificarse a si mismo y le dio por saco gestionarlo con los navegadores. En fin.
#23 A mí se me revocaban 2 CA's de la FNMT (representante y usuarios). Pero lo hacen tan mal, que no saben ni lo que hacen con los certificados para que el Firefox lo acepte a la fuerza.
ES más, la de veces que tenía que quitar esos 2 certificados de la FNMT.
#84 Es un dislate total lo de esta gente, y del DNI electrónico mejor ni hablamos.
#88 En mi caso, me funciona bien. Pero el asunto del DNIe, es que, por ejemplo, en un banco en el que estoy trabajándolo (ya me falta poco, para marcharme del trabajo y dejaré esa cuenta bancaria definitivamente), pues no sé que razón,que a mí no me deja trabajar, se queda pensando tooooodo el rato hasta que me da cansancio y tengo que recurrir al botón ESC, para dejarlo o, mejor dicho, cerrar la pestaña y a otra cosa.
Pero por lo demás, 100%, no tengo problemas, i en la AEAT, ni en ninguna administración. Eso sí, con el Firefox 71.0.
La verdad es que en este caso concreto me pongo del lado de la FNMT. Firefox quitó el soporte para el tag keygen menos de 1 año después de haber públicamente dicho que no lo iban a quitar. https://github.com/solid/solid/issues/134#issuecomment-443922803
Chrome ya lo había quitado hace tiempo pero la verdad es que actualmente NO hay alternativa. https://security.stackexchange.com/questions/106257/alternatives-to-htmls-deprecated-keygen-for-client-certs
Por alguna razón que desconozco los navegadores se están poniendo en contra de los estándares de PKCS mientras aplauden cosas como WebAuthn que están básicamente atadas a los navegadores (a ver quien es el guapo que exporta una clave privada de ahí...).
#36 Efectivamente, Firefox no debería haber quitado el soporte a Keygen tan rápido, especialmente debido a que afirmaron que no lo iban a quitar. Eso no cambia el que el keygen fuese inseguro al usar MD5 como estándar de encriptación. La realidad también es que cuando chrome eliminó el soporte a keygen la FNMT debería haber corrido a implementar algo que le permitiese hacer una autenticación del navegador que funcionase de forma universal, en lugar de ello se excusaron en que la mayoría usaba explorer y firefox para entrar en la página (no te jode, solo funcionaba ahí)...
#66 (No es cierto que se use MD5 como estándar de encriptación (ni siquiera de hasheo)).
Los navegadores están intentando mandar a paseo el usar llaves privadas.
Lo único que puede hacer la FNMT es pasar página y desmontar todo el tema de la firma digital, dado que "ya no está de moda" entre los navegadores. Cosa que ya está haciendo el estado (véase el sistema Clave). Ningún navegador ofrece una "autenticación universal" de clave privada como hasta ahora, así que como decía en mi post no se puede pedir mucho a la FNMT. Hay que ir a alternativas que no son PKCS y no está claro que la FNMT se tenga que meter en esos berenjenales.
A mi siempre me ha gustado más la firma digital (con claves que puedo exportar y guardar como yo quiera) que las alternativas de hoy en día. En general las nuevas alternativas están ligadas a cosas que no tengo (e.g. aplicación nativa Android, envío de SMS, etc.).
#95 En realidad, según este thread (que incluye respuestas de tim berners-lee se usa md5 como parte del proceso de creación de la clave privada con el elemento keygen: https://lists.w3.org/Archives/Public/www-tag/2015Sep/0001.html
"Hemos detectado que usted no ha seguido las instrucciones para solicitar el certificado con el DNIe y está utilizando un navegador no soportado".
La primera versión del mensaje acababa con ", gilipollas", pero al final se cortaron...
En serio, qué mensaje más prepotente y subnormal, además viniendo de unos completos inútiles
¿Y os escandalizais? Puedo contar absolutas historias de terror de la plataforma Séneca, como cada vez funciona con un navegador distinto, con una distribución java distinta que por supuesto no es la última, de lexnet, que también es otro cachondeo o de la cantidad de páginas gubernamentales que no tienen https, ya hablamos en otro momento de la app de la fnmt, que la quitaron por un agujero inmenso de seguridad y aún no la han repuesto más de un año después.
#7 Te has dejado atrás el portal de la receta XXI de la Junta de Andalucía.
#9 ¿Un curso de cocina?
#7 Hasta que me separé de mi pobre ex, maestra, las tuve que pasar putas con el Seneca y sus perks, se notaba mucho el trabajo de lo que yo llamo “programador de salón” controlando todos los inputs pero sin facilitar la usabilidad.
Recuerdo la barbaridad de poner la evaluación del 1 al 31 del mes y decir que el 1 es domingo y la entrada no es correcta.
Un horror.
#93 Pues según me contaron en Extremadura contrataron lo mismo pero sin soporte, y fue doble pesadilla, otra coña es que en la evaluaciones se forma cuello de botella porque es incapaz de aguantar todas las conexiones al mismo tiempo, así que hay veces que las evaluaciones se demoran hasta dos días en los que se están peleando con la plataforma y tienen la tecla F5 hundida.
#6 Microsoft ha dicho mil veces que dejemos de usar el puto IE.
Para los usuarios de a pie es terrible gestionar temas con la administración pública.
Yo opté por crear una máquina virtual solo para los trámites legales y no instalar más que el soft y plugins recomendados y todo va de fábula pero en un PC real con más software instalado al final no funciona nada.
Claro, se lo explico a los no informáticos y cuando les hablo de máquinas virtuales me mandan ATPC.
Nada nuevo bajo el sol, pero creo que aunque sea un tema "menor", nos deberíamos organizar para exigir mayor responsabilidad y diligencia a la hora de tratar con la seguridad informática en la administración española.
#12 no es un tema menor, es decir, es un tema mayor.
Rajoy.
#47 Algo están haciendo, según la página de la FNMT están desarrollando alguna solución... pero hay que tener en cuenta que debe ser un sistema muy robusto y seguro, debe ser absolutamente imposible que alguien pueda ejecutar un ataque man in the middle para obtener el certificado, debe asegurar al 100% que es ese navegador y equipo y no otro... de lo contrario puedes tener problemas graves ya que el certificado de la FNMT permite hacer trámites muy sensibles y obtener datos privados del usuario, incluyendo temas de historial médico, impuestos, historial de la cotización...
#58 por supuesto que si. ambos certificados tienen clave privada de serie.
En Firefox
Oh, esto lo he sufrido yo para instalar un certificado! Volver para atrás en el Firefox no era viable así que tuve que aprender a abrir el Internet Explorer en Windows 10 (no es nada fácil, lo tienen bien escondido).
#19 Volver para atrás en el Firefox no era viable
Sí lo es: Instalas una versión portable de FF y solo lo utilizas cuando tengas que hacer un tramite con el certificado
#24 una vez que obtengas el certificado ya lo puedes exportar e instalar en el navegador que quieras
#19 bueno nada fácil tampoco...solo hay que escribir "Internet Explorer" en el buscador de Windows.
#19 Yo tengo cuatro navegadores instalados y no hay mucho que aprender en cada uno de ellos (ABRIR PESTAÑA, CERRAR PESTAÑA)
#19 Pon en el buscador de Windows "Internet Explorer" y te sale a la primera.
#69 en el de casa si me sale pero en el del trabajo no había manera, algo debía estar desconfigurado.
#19 En mi caso, con Firefox, no tengo queja. Ya hice un certificado hace casi 2 años, y aquí, funcionando hasta el 2022. De ahí, no tendré problemas en renovarlo (por el tema de los 5 años, porque ellos quieren así, porque sí).
#58 Esa clave privada se genera solo cuando vas a pedir el certificado a la administración (en el proceso de demostrar la identidad). Mozilla eliminó el soporte debido a que la etiqueta keygen ya no es parte del estándar html y usa una encriptación débil (MD5), lo que hacía que el sistema de keygen fuese vulnerable.
#44 ¿Y programar en Javascript todo, todo (la generación de todo el certificado digital), utilizando HTML5 para poder, al final, grabar en disco local el certificado, y que el usuario se lo instale?
#46 Podría ser viable, pero el problema es que como digo es un certificado temporal que solo se usa para el trámite de obtención del certificado real, pedirle a un usuario que instale un certificado temporal es confuso, muchos lo confundirían con el certificado final y se frustrarían al ver que no pueden usarlo para identificarse con la administración.
#50 Ah, vale... ahora veo por donde van los tiros...
#50 Mmmm... dándole algunas vueltas, creo que una solución sería programar todo en Javascript/webasm, y usar HTML5 Web Storage para almacenar el certificado temporal, y que la autenticación se haga también mediante código en el navegador... Complicado de programar, sin duda, pero sería una solución estable a largo plazo.
#46 Hecho: https://security.stackexchange.com/a/107173
Yo trabajo en un SAT cara al público y tengo esta guerra a diario...cuando al usuario no le quedan lágrimas para seguir llorando, acaban en mi mostrador. El último, hoy mismo, con la web del Ayto. de Cartagena, intentando presentar una factura, por supuesto ha habido exportar certificados a IE para poder hacerlo. El anterior, ayer, con el SAS...y así todos los días...
#29 Conozco tu dolor, yo también lo he sufrido en mis carnes, actualmente trabajo dando soporte a usuarios en una empresa y los certificados son un auténtico dolor de huevos, más aún cuando encima tienes los permisos para modificar muchos temas de seguridad capados por políticas...
La solución que he usado en los últimos trámites ha sido instalar firefox ESR para que hagan el trámite de obtener el certificado y una vez obtenido, descargado, guardado por triplicado en varios sitios, incluido un espacio que tienen los usuarios en la NAS de la empresa (así no lo pierden, que es algo MUY habitual) se les vuelve a poner la última versión de firefox... y aún así hay muchos problemas, versiones de java, versiones de navegador, settings diferentes en java para los diferentes sitios de la administración (los que valen para un sitio puede que no te valgan para otro...)
Puto infierno, en serio, los trámites electrónicos con la adminsitración son lo peor.
#63 En mi caso la variedad de sistemas operativos y configuraciones diferentes que entran por mi puerta excede cualquier frontera numérica conocida...y perfiles, estudiantes o jubilados, y trabajadores de todos los sectores. A veces quiero llorar.
#83 ufff y yo pensaba que con trabajadores que tienen muñones en vez de manos lo tenía mal... al menos yo solo tengo que lidiar con un par de versiones de sistema operativo (aunque estamos terminando la migración a windows 10 y pronto todo el mundo estará en la misma versión de SO)...
Marca España
Me vendría bien que alguien me explicase como funcionaba el sistema de "generar clave privada a partir de un certificado". ¿El Dnie no lleva dentro un certificado, o una clave privada, con la que te identificabas y firmabas digitalmente?
¿Chrome y Firefox ya no son compatibles porque no permiten que el driver del lector de tarjetas inserte dinamicamente la clave del certificado del dnie en el navegador? ¿O es otro problema?
En otros países donde no hacen chapuzas electronicas como españa, ¿cómo gestionan los certificados digitales? ¿Qué otros métodos de identificacion y firma recomiendar usar Mozilla y Google?
#31 Es otro problema.
FNMT es una agencia certificadora, o sea, es una empresa que certifica que tu eres tu a traves de un certificado digital que ellos emiten a tu nombre.
- para empezar tu navegador debe generar una pareja de clave publica/privada y comunicar la publica a la FNMT.
- despues debes demostrar tu identidad ante la FNMT, para esto puedes llegarte a una oficina habilitada por la FNMT para validar tu identidad (las oficinas de hacienda y seguridad social, principalmente), O BIEN, usar tu DNI electronico que YA DEMUESTRA que tu eres tu, ya que esta emitido por la policia nacional.
- para terminar, te descargas el certificado digital emitido por la FNMT en tu PC.
a efectos practicos, tienes dos certificados digitales (el de la FNMT, y el del DNIe), pero es que la mayoria de webs estatales, solo trabajan bien con el de la FNMT.
#54 ¿El certificado de la FNMT... y el del DNIe... no incluye una clave privada de serie?
¿Por qué Firefox
#54 con el dnie no funciona, lo intenté hace un mes y tuve que ir
#68 puede ser que se te hayan caducado los certificados del DNIe. el DNIe tiene una validez de 10 años, pero los certificados electronicos internos del DNIe deben ser renovados cada 2 años en una maquina de DNIe que esta en las oficinas de la policia nacional.
Si, yo tampoco lo sabia.
#79 los certificados del dnie estaban recién actualizados porque no me acordaba de la contraseña y fui a una máquina de esas a resetearla. Es una castaña, no tiene más vueltas. El puñetero dnie no sirve para nada. Y esa es otra, en windows no funcionaba, en mac tampoco ni con el firefox antiguo, solo conseguí que funcionara en ubuntu instalando una versión antigua de ff, total para nada porque la fnmt no me dejó verificar mi identidad con el dnie y tu e que ir
¡Vergüenza, vergüenza, vergüenza... !
Entiendo que es un fastidio el no poder utilizar las últimas versiones de Firefox, y pese a que pueda parecer que la versión actual (71.0) está muy alejada en el tiempo de la última soportada (68.3.0), ambas son releases del 3 de diciembre de este año, y la versión 68.0 fue liberada en julio (la 69.0 es de septiembre).
No me parece tan grave, teniendo en cuenta la importancia en seguridad que hay detrás. Queremos estar a la última y luego cuando hay agujeros de seguridad nos quejamos.
#2 diox mio, ¿así que la culpa es que vamos demasiado rápidos con las actualizaciones?
Hablamos de certificados digitales que la Administración OBLIGA a tener. Y que se supone que mejoran la seguridad precisamente. Y por eso hay que usar software anticuado. Por cierto, la versión 69 salió en mayo de este año https://wiki.mozilla.org/Releases/Firefox_69 y tampoco está soportada. (perdón, corrijo, es de septiembre, es cierto)
Tampoco se puede usar Chrome.
Pero la culpa es nuestra, que vamos como locos ...
#2 He tenido que lidiar con la actualización de certificados para varios clientes particulares y empresariales.
Es absolutamente demencial.
Hasta para mi, que trabajo en temas de seguridad informática y llevo pegándome con certificados desde hace más de 15 años, en ocasiones me ha costado un dolor de cabeza.
Para usuarios particulares es complemente inviable.
No es mínimamente presentable la situación de la FNMT.
Un usuario doméstico (o muchos empresariales) no tienen que tener conocimientos avanzados de administración de sistemas para instalar o actualizar un certificado. Y menos a costa, a día de hoy, de tener que reducir los niveles de seguridad y protección del navegador, tal y como está el patio.
No es de recibo, sobre todo como dice #3, cuando la administración te exige, no recomienda, exige, disponer de un medio de acreditación de la identidad electrónica.
#4 En mi caso particular, instalar los certificados me ha resultado bastante fácil. Hace años me resultó muchísimo más complicado.
#4 El problema es algo más básico que eso: el simple hecho de meter manualmente un certificado al navegador es ya un peligro de seguridad.
¿Quién nos garantiza que el gobierno no usará ese certificado para interceptar el tráfico de sitios seguros de terceros? Tal vez mañana un juez decida qué va a autorizar que se suplante la identidad de Google por ejemplo para meter software falso en todos los teléfonos Android (por ejemplo una actualización falsa del teclado) y así espiar a "los terroristas". Y con la clave privada de la fnmt eso será perfectamente posible.
#14 Nada te impide utilizar otro certificado reconocido
#4 Ya no es solo los certificados, casi todas las aplicaciones de la administración pública son penosas. Mira la página para renovar el DNI, que me dicen que es de principios del 2000 y me lo creo. Y no intentes pagar la renovación, que en lugar de simplemente pedirte la tarjeta como cualquier tienda online te obliga a instalar un software de terceros.
Y podríamos seguir. Mira la web del DOE (Diario Oficial de Extremadura), Extremaduratrabaja, la cual ni tiene certificado tampoco. Etc, etc. Me resulta asqueroso para mi que soy Ingeniero Informático, no quiero ni imaginarme lo que sufrirían mis padres. Normal que a día de hoy la población siga prefiriendo los trámites presenciales.
Tengo que escribir un artículo en meneame detallando mas mis últimas peripecias, a ver si puedo hacerlo mañana.
#4 yo no trabajo en seguridad, pero soy bastante mañoso. Bueno, pues mi mujer que es Graduada social es una experta con los certificados macho, a base de romperse la cara. Yo desistí. La verdad que da pena que sea tan complicado
#43 A mi lo que me acojona es que sea tan fácil para otros.
No en todas las administraciones estas cuestiones se resuelven dando un contrato a una empresa enchufada, pero si tienen los mismos problemas, una de dos: o la cosa está realmente complicada o en cuanto dejan un sistema preparado y alguien como el usuario se actualiza, entonces todo falla sin remedio porque no hay presupuesto para una simple actualización.
En lo privado todo funciona como la seda. Amazon te cobra importes solo identificándote con una clave que puede ser una mierda y que no te pide que renueves o que sea mínimamente segura. Tampoco se asegura de que tú seas tú, incluso mi movil me pide que vuelva a poner el patrón periódicamente. Con los bancos nunca (ING a parte) hay problemas. Qué sencillo es todo, tanto que hasta parecería que esas empresas están dispuestas a perder un porcentaje de sus beneficios compensando robos de datos mientras fomentan el consumo y aumentan sus beneficios por encima de lo que les cuestan los robos.
Pero la administración no puede hacer eso, lo que no significa que lo que hacen sea bueno, solo que no pueden participar en esa filosofía. Eso hace que desde que empiezan un proyecto hasta que tienen funcionando la primera versión, las condiciones del usuario han cambiado, la aplicación funciona mal o no funciona y tienen que hacer otro contrato que tardará un año hasta que se pueda comenzar a trabajar. Todo sea por el control.
A todo esto Chrome, Mozilla, Microsoft, Apple o Linux deciden como les da la gana lo que soportan y lo que no. Y cuando deciden que Java no se soporta, entonces te jodes y se jode la administración. Ellos no van a dar soporte o a avisar con años de antelación porque no les sale de los mismísimos. Tampoco van a proponer una alternativa que sustente lo mismo que lo que desechan, ya tienen html 5 para hacer muchas de esas cosas, que no todas.
Total, que aquí no hay inocentes, ni el usuario.
#4 Como comento más abajo. Máquina virtual solo para la administración pública y procurar que sea Windows 7 o algo no demasiado moderno.
#94 si llegamos a estos niveles de tener que usar máquinas virtuales cada vez que queramos usar un certificado gubernamental, algo falla.
#4 estoy hasta los ........ de esta gente y no te digo la seguridad social
#97 Yo no tengo pegas, uso 'Cl@ve', porque es la mejor manera de no volver a usar la FNMT, que da muchos problemas.
#2 ahora va a resultar que si firefox saca una versión 2 días despues de detectar un fallo gordo de seguridad, y como al gobierno no le sale de los huevos actualizar, tengo yo que exponer mis datos usando una versión bugueada.... estarás conmigo en que no es muy lógico....
cc: #3 #4
#4 nosotros usamos un Firefox portable para hacer las instalaciones de certificados. Y una vez obtenido, lo exportamos a Chrome o al Firefox bueno. De esa manera no tienes que bajar la seguridad.
#3 Hola, lo que digo, es que unos pocos meses no es el fin del mundo. Al menos esa es mi opinión. ¿Qué sería estupendo que funcionara desde el primer día? Está claro. ¿Que prefiero que vayan un poco por detrás pero minimizando los fallos? Eso también.
El problema aquí radica en que FNMT-RCM seguramente necesite una evolución de su programa para trabajar con las nuevas tecnologías de navegadores, en vez de adaptar sus certificados a los navegadores compatibles. Pero eso significa dinero. Lo que pasa es que ellos se escudan en que la gente entra normalmente con IE o Firefox, lo cual, por otro lado, es lógico ya que son los navegadores soportados.
Chrome no puede usarse ya que hay un problema técnico: han desactivado la posibilidad de generar claves privadas para certificados. Ahora lo puedes hacer manualmente, pero ya han anunciado que quitarán dicha opción en el futuro.
#6 pues bien que te cascan pasta por sacar certificado para persona juridica o representante, ya podían invertir algo
#6 ¿Pero IE no es ya un navegador obsoleto? No entiendo que siga siendo el "soportado" por la FNMT
#6 a.mi eso de generar una.clave privada desde un navegador me.parece una animalada.
#3 Es mejor aquí: https://wiki.mozilla.org/Release_Management/Calendar
No por nada, porque es el mejor sitio.
#3 La Administración OBLIGA solo en determinados casos, que suelen ser los de índole profesional. Para temas personales no puede obligarte a tener certificado digital, no viene recogido en la ley.
#3 "El procesador más avanzado desplegado actualmente en el espacio es el BAE RAD750. Dos de esos chips son los que lleva el rover Curiosity, alcanzando sólo 200 MHz, y teniendo 256 MB de RAM y un SSD de 2 GB. El diseño del chip RISC está basado en un PowerPC 750 desarrollado por IBM y Motorola y lanzado en 1997 para intentar competir con los Pentium II. El 750 fue usado en el iMac G3, el primer iMac."
https://www.adslzone.net/2019/11/11/procesador-espacio-esa-nasa/
Lo último de lo último se usa en otros aspectos que no requieren una fiabilidad extrema. Identificarse al otro extremo de la linea sí requiere una gran seguridad.
#2 Pues ha mejorado recientemente. La última vez que intenté con una de estas me exigía uno de hacia mas de 4 años.
Yo ahora voy tirando con el Autofirma, que dentro de lo que es funciona. Deberían pasarse a html5 y dejarse de chapuzas.
#26 Es que, esta gente está anticuada, no querrán utilizar el HTML5, hasta que haya un estándar que permita sustituirlo todo.
#2 Ni que decir tiene que si usas Mac ni siquiera tienes la alternativa de IE....
#55, en Mac al igual que en Linux tienes Firefox.
#2, pues diría que precisamente por temas de seguridad lo ideal es tener el navegador actualizado.
#2 Precisamente las actualizaciones de navegadores sólo corrigen bugs de seguridad y añaden features, si las webs de la administración requieren versiones antiguas es que requieren funcionalidades que son un riesgo para la seguridad, y eso es la realidad, sólo hay que ver las instrucciones de sus webs (baja el nivel de seguridad! añade excepciones a todo! confia en una CA que te has bajado de una web en la que no cofias!, y así..) para ver que en realidad lo que te obligan es a realizar malas prácticas una tras otra.
#2 precisamente con cada actualización se tapan muchos agujeros (así como se abren nuevos). Es muy importante estar actualizado, mucho.
#2 el tema es que los navegadores se actualizan solos. Y dile a alguien poco técnico que se instale una versión más antigua o de una rama distinta.
Debería buscarse un sistema más agnóstico en cuanto a navegadores y versiones de refiere.
Es todo un cachondeo. Se me caducó el certificado digital. Había una opción de renovar online usando el dni-e, pues bien, no funciona, hay que ir presencialmente si o si si has renovado 2 veces ya. El cert del dni era nuevo del día antes de intentarlo. Para que leches han hecho el puñetero dni
#65 ¿alguien usa el DNI electrónico? con lo mal que va se me hace raro... pero si que es cierto que el que solo puedas renovar el certificado una vez es una molestia enorme... no es viable para todo el mundo ir a un sitio donde certificar tu identidad, el horario no siempre es compatible, no siempre es un sitio fácil de acceder. Yo cuando me saqué el certificado aproveché que estaba de vacaciones y que el ayuntamiento de la localidad donde estaba daba la posibilidad de validar la identidad y estaba cerca, de lo contrario no hubiese podido sacar el certificado, trabajo a las horas en las que esas oficinas están abiertas...
#65 Eso me pasó a mí, cuando tenía que renovar un 3er certificado y no me permitía, pero eso sí; sin el DNIe.
Hello.-Hace años tube el certificado digital con chrome pero me vio obligado a pasar a firefox para poder trabajar
Salu2
El otro día mi empresa perdió una propuesta a la Generalitat con el mismo problema, avisando de navegadores, usando uno alternativo tuvimos luego problemas para la firma digital y la presentación telemática... un infierno.
Me asaltan algunas dudas al ver las explicaciones de la FNMT:
"los desarrolladores de Chrome han desactivado la posibilidad de generar claves privadas para certificados"
"El nuevo navegador de Microsoft...no podemos hacer llamadas desde el navegador a los elementos necesarios para generar las claves privadas de sus certificados"
¿Es necesario que las claves privadas las genere el cliente? ¿No pueden ser generadas por los servidores de la FNMT y luego borrada? ¿Es para evitar el tener que confiar en que la FNMT borrará tu clave privada después de generarla?
#10 por definición, generar un par de claves en servidor ni tiene sentido. La idea es que la clave privada sólo puede ser conocida por el propietario
#10 El problema es que la FNMT usaba el tag html keygen,que ya no es parte del estandar HTML, un tag HTML inventado por Mozilla creado para generar y guardar certificados digitales del lado cliente, no se trata de la clave privada del certificado de la FNMT es diferente. Keygen llegó a ser parte del estándar HTML e incluso Chrome llegó a soportarlo, pero fué eliminado del estándar al ser un sistema poco seguro. En esencia, lo que hacía es que el navegador generaba un par de clave pública y privada, pasándole la clave pública al servidor.
FNMT usa ese elemento para identificar al navegador cuando vas a solicitar el certificado digital, de ese modo el certificado solo puede ser descargado desde el equipo y navegador que inició la solicitud. La idea es buena, pero los problemas de seguridad que conllevaba esa etiqueta (en esencia le da al navegador la posibilidad de modificar el SO al añadir un certificado sin que el usuario se entere ni lo autorice. Además, el estándar de keygen usa algoritmos de encriptación poco seguros(MD5). https://lists.w3.org/Archives/Public/www-tag/2015Sep/0001.html
En el caso de explorer lo que usan es un complemento active X(CertEnroll/XEnroll), por eso sigue funcionando. En cualquier caso, si obtienes el certificado con Explorer puedes usarlo en otros navegadores sin problemas, no necesitas usar versiones antiguas de navegadores ni seguir usando el explorer.
#33 ¿Y no hay forma estándar de hacer lo mismo?
#40 No, por desgracia hasta donde yo se no existe un estándar actual para hacer eso, tal vez cookies, pero no son tan seguras y son falsificables.
#33 y por qué narices no usar alguna libreria en JS que lo haga igualmente en cliente?!
#10 #47 #33 Se pueden picar la librería en JS para hacerlo, pero entiendo que no es una opción.
Existen y se usan en sistemas en producción con la seguridad por bandera, todo en cliente.
#47 pues porque no tienen ni puta idea de tecnologias del Web.
#33 muy bien explicado, mis dieses.
Mi impresión es que no tienen soporte de actualizaciones para ese desarrollo de su aplicación, no quieren meter pasta o les da vergüenza sacar concurso público para que se lo hagan y el personal interno no se ve aún capacitado.
#33 Muy bien, sin embargo ningún estado Europeo se ha planteado alternativas serias, como:
- Promulgar legislación que obligue a las empresas encargadas de los navegadores a ofrecer soluciones duraderas, estandarizables, y compatibles con certificados digitales PKCS y toda la mandanga.
- Pagar a esas empresas para que mantengan determinadas características útiles.
- Desarrollar algún(os) complemento(s) que se encargue(n) de gestionar toda la maquinaria criptográfica necesaria para operar con esos sitios (o pagar a alguien para que lo haga).
- O en general, ya que estamos, mover un poco el culo para que la industria del software en Europa tenga algún papel mínimamente relevante, que estamos no a rebufo, sino atados a un árbol mientras USA, China, Korea y otros corren con su F1.
#10 La seguridad de las claves asimétricas con PKI es esa, que te generas tu tu par de claves y luego la CA firma tu petición.
En el momento en el que la CA o cualquier otra persona del universo pueda acceder a tus claves privadas, aunque sea temporalmente, el sistema de PKI pierde su sentido y sería otra cosa en la que nadie confiaría, bueno, yo desde luego no.
No soy de España y no estoy mucho en tema, pero te hacen instalar un certificado raíz en el navegador? No deberían tener un certificado que "cuelgue" de una autoridad mayor? Verisign, etc?
#18 Hombre que VeriSign sea una autoridad mayor que la de un Estado sí que es una chapuza informática, que no te digo que no sea más cómodo pero tampoco sería nada inteligente desde el punto de vista del Estado.
#18 se han llevado mucho tiempo sin tener los certificados ya incorporados en los navegadores populares por un error de tramite, antes, hace tiempo ya, había que añadir los certificados raíz, ya no
#38 No fue por un error de trámites, fue por burocrácia... https://empresas.blogthinkbig.com/la-increible-historia-de-firefox-y-e/
#48 bueno, si, estaba pensando en eso pero lo expresé mal, gracias por el link
#18 No es eso, lo que ocurre es que usan un certificado temporal para identificar al navegador y asegurar que solo puedes descargar el certificado en si en el mismo navegador en el que has iniciado el trámite.
El trámite funciona así: vas a la página de la FNMT, solicitas el certificado, vas a un sitio de la administración específico (hay múltiples en las ciudades, existe un mapa donde puedes ver los sitios) y ahí te identificas físicamente con tu carnet de identidad. Una vez te has identificado, vuelves a casa y puedes descargarte el certificado con el mismo navegador que usaste para iniciar el trámite.
La FNMT(fábrica nacional de moneda y timbre) proporciona los certificados oficiales de la administración y su página usa dos tipos de autenticación de navegador, para explorer usa un active X de microsoft, para el resto usaba la etiqueta html keygen, que ha quedado eliminada del estándar y ya no es soportada por ningú navegador moderno (salvo tal vez safari). Esa autenticación solo se usa como parte del trámite de identificación física del solicitante del certificado, una vez estás identificado y has descargado el certificado puedes usarlo en cualquier navegador (aunque la verdad es que las páginas de la administración dan muchos problemas con los certificados).
#41 Llegados a este punto ¿no es más sencillo tener el certificado en la propia tarjeta?
No sé de estos temas, pero dejar un certificado en el ordenador puede ser muy cómodo, siempre que no necesites firmar desde otro sitio.
Por contra, un certificado en la tarjeta permite llevarlo siempre consigo.
Otro tema es que el equipo se lleve bien con el lector de tarjetas, claro.
#18 Es España. No hay mayor autoridad que la del Estado Español.
Quieren controlar ese certificado raíz. Ni idea de por qué no lo incluye la fundación Mozilla. En los otros navegadores imagino que tendrían que pagar.
#42 Tienes un DNIe, tienen múltiples certificados reconocidos (de pago) que al generar el par de claves fuera del navegador son más seguros y funcionan con todos, tienes todos lourdes mecanismos de doble factor de Cl@ve (móvil, OTP, etc). Tienes sistemas que no requieren Java. Date una vuelta más allá de los Pirineos y me cuentas. Queda por hacer, pero pide firma a un banco
#18 Nonono. Tienen que hacer a la fuerza, a través de sus gestiones de sus servidores de claves. No externos.