Después de muchos años, finalmente se vislúmbra la luz al final del túnel. Firefox acaba de anunciar que pronto incluirá la Fábrica Nacional de Moneda (Fábrica Nacional de Moneda y Timbre de España) en su base de organismos de certificación reconocidos. Esto significa que el navegador Firefox reconocerá automáticamente que los sitios web de la sede electrónica de los sitios de la administración pública española son seguros y fiables sin necesidad de realizar complejos pasos previos de instalación manual de certificados.
Comentarios
Ahora sólo hace falta que el gobierno elimine java como necesario y haga las webs como si estuviésemos en el siglo XXI
#3 Para dejar de usar java como applet se puede usar cl@ve o el programa autofirma.
#3 ¿Te refieres al sistema de custodia de certificados? Hace un par de años fui a una conferencia sobre certificados digitales en la administración publica, y contaron que estaban legislando para poder guardar ellos los certificados digitales en un servidor y darte a ti el pin. Cuando los asistentes con un poco de conocimiento técnico saltamos, llego un secretario de estado que estaba por allí y nos dijo que nos calláramos porque se iba a hacer así. Vamos, que la opinión de los expertos se la pasaba por el ...
#9 ¿te refieres a los certificados con clave privada?
#14 Difícil de creer, ¿verdad?
#15 ojala se pudieran firmar matrimonos con eso pillar el de Rajoy y casarme con el . Si da mucha grima pero imagínate que risas
#23 Mejor pillar el de Rajoy y el de Pablo Iglesias... y casarlos a los dos. Eso sí que serían unas risas
#62 pobre coletas, igual cuando se entere echa a arder
#74 62 y 23. Lol. Me habéis resuelto el día.
#9 Yo le hubiese dicho "Me acaba de confirmar que no importa hacer las cosas mal, lo que importa es ser secretario de estado. Inculto, pero secretario. Felicidades "
#16 El tema es sacar proyectos y hacer gasto, aunque luego haya que tirarlo porque no sirva. Les estaban demandado un sistema para poder firmar desde cualquier dispositivo (PC, tablet, movil) pero la tecnología del momento no lo permite. Así que, en vez de explicar porque no es posible hacerlo, haces cualquier cosa y te llevas la pasta. Cuando se den cuenta de la picia ya la subsanaran gastando más dinero.
#19 Te respondí en #27 , pero se me pasó hacer referencia a tu comentario
#27 #32 No estamos hablando de lo mismo, Cl@ve es un sistema de identificación basado en la identificación en dos pasos. Normalmente cuando pides tu Cl@ve te mandan un mensaje al móvil. No es tan seguro como la identificación por DNI-e, pero es mas sencillo para la mayoría de la gente.
La custodia de certificados es otra cosa. Un certificado no solo sirve para identificarse, también sirve para firmar documentos. Para que tenga sentido la utilización de clave publica y privada, la clave privada la debe guardar el propietario de esta, en un dispositivo propio. Si la guardan en un servidor ya no sirve para identificarse. Y tampoco valdría para dar legitimidad a la firma, ya que la persona interesada nunca ha tenido el control de la clave privada. Seria mas sencillo y barato marcar en un campo de la base de datos que el usuario ha validado el documento, porque el nivel de seguridad es el mismo.
#36 En mi anterior comentario puse:
Cl@ve complementa los actuales sistemas de acceso mediante DNI-e y certificado electrónico, y ofrece la posibilidad de realizar firma en la nube con certificados personales custodiados en servidores remotos.
Además:
Cl@ve permanente ( Cl@ve Personal ): sistema de contraseña de validez duradera en el tiempo, pero no ilimitada, orientado a usuarios habituales. Se corresponde con el sistema de acceso mediante usuario y contraseña, reforzado con claves de un solo uso por SMS, a los servicios de Seguridad Social. Este sistema será además el que permitirá el acceso al ciudadano a la firma en la nube .
http://clave.gob.es/clave_Home/dnin.html
#37 Creo que ha sido el inconsciente, que no me ha dejado leer lo de la firma en la nube.
#38 Entonces ¿no guardo el .pkcs en onedrive?
#19 gastando mas dinero en alguna carnica de algun amigo.
#9 Realmente con el sistema cl@ve no tienes ningún certificado sólo "claves" temporales o permanentes y legalmente es equivalente a usar certificado con cifrado de clave pública. Así que ya existe algo de ese estilo
#9 Hace algún tiempo, cuando me enteré del proyecto Clave, también me chirriaron las neuronas. Eso de que la Administración guardará nuestras claves privadas, y sólo firmará por nosotros cuando se lo digamos...
No sólo es cuestión de poder confiar o no en la Administración, es que si alguien consigue tener acceso al almacén de claves central puede suplantar a cualquiera.
#3 Yo no tengo nada en contra da Java, pero lo que hacen en hacienda con los applets de Java, se podría hacer con PHP o ASP facilmente y se quitarían de problemas e historias. Creo que se atascaron ahí con el Java y ya no saben como quitarlo, no tiene explicación.
#17 Si la tiene. Las cárnicas siempre han usado java en el desarrollo de software para instituciones públicas. No tienen expertos en otros temas. Sus jefes de proyecto tienen mucha experiencia en java pero solo java.
#17 Yo he trabajado en la administración, y seguirán con JAVA en 2050 por el mismo motivo que los bancos siguen con COBOL.
Si funciona no lo toques... Lo que pasa es que el politicucho de turno no sabe que no funciona* bien o le importa una mierda porque no da ni quita votos.
* Las cosas funcionan y se demuestra al cliente (administración) que funcionan, lo que el cliente no sabe es la alineación de planetas que tiene que producirse para que le funcione al ciudadano de a pie. #18
#18 esas lacras para IT llamadas cárnicas.
#51 se os olvida comentar las versiones obsoletas de jre que requieren para funcionar (que son un problema de seguridad en sí).
#17 Tanto PHP como ASP son tecnologías servidor, no puedes hacer que firmen un documento en el cliente, a menos que pretendas que el cliente envíe sus claves privadas al servidor lo que es realmente una mala idea.
#21 Buen apunte, aunque me parece que se pueden firmar certificados con javascript, no? (https://kjur.github.io/jsrsasign/)
#25 Tengo entendido que no está suficientemente madura esa tecnología y aunque parece el futuro mientras no se implementa se pueden emplear otras soluciones alternativas como el cliente pesado autofirma:
http://firmaelectronica.gob.es/Home/Descargas.html
Aplicación de firma electrónica desarrollada por el Ministerio de Hacienda y Administraciones Públicas. Al poder ser ejecutada desde el navegador, permite la firma en páginas de Administración Electrónica cuando se requiere la firma en un procedimiento administrativo.
#25 Sí, se puede firmar algo en JavaScript, pero hasta donde yo sé la API de los navegadores para criptografía sigue estando en fase experimental.
Por ejemplo la librería que pones tiene la limitación estándar de este tipo de librerias JS, que los navegadores no exponen a las webs el almacen de claves, con razón, con lo cual en todas verás que sí, que puedes firmar, pero le tienes que pasar la clave privada/certificado como parámetro a mano, no es muy práctica. Y eso el caso trivial de un certificado tipo FNMT que tienes directamente instalado sin entrar en cosas como firmarlo con el DNIe.
#25 En principio sería más peligroso. Imagínate páginas firmando cosas sin que tu lo sepas....
#70 Tendrían que pedir permiso de la misma forma que ya se hace ahora.
#84 ahora lo hace una aplicación externa al navegador...
#3 Sin problema, pero eso van a ser 9 millones de euros por web más. A precio de mercado.
#3 Y que no te obliguen a usar ie7 no el 8 o el 9 que tampoco son compatibles al igual que el resto de navegadores.
#24 Simplemente la administración española no cumplía con los requisitos de seguridad de mozilla en temas de auditoría, etc. Era la propia administración española la que no respondía adecuadamente a las peticiones de mozilla.
#29 bueno, en realidad me he leído el bug entero y veo algo de inutilidad por ambas partes. Más por parte de la FNMT que por parte de mozilla, pero Mozilla también ha metido la gamba varias veces...
"Vamos a abrir un proceso de información pública... Dentro de 6 meses"... Y a los 6 meses... "Ah, espera! Que tengo más dudas!"
Este es el anuncio de mozilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=435736#c166
#1 Osea, que en vez de mandar el anuncio en inglés, lo mandas en gallego.
Good Job.
#5 Si sabes español el gallego se entiende perfectamente, el escrito al menos.
#48 Si tenéis dificultades con el gallego, con los certificados digitales ya mejor ni lo intentéis..
#48 yo debo ser Subnormal porque no entiendo ni el catalán ni el gallego por mucho que la gente diga "esta en tal idioma pero se entiende perfectamente"
#5 handjob, blowjob, rimjob...
#39 si lo configuras a la primera te ficha la NASA sin entrevista ni ostias
En informática hay dos cosas muy dificiles, programar en ensamblador e instalarte un certificado digital de estos.
#13 Instalarlo es fácil una vez que lo tienes en el pc, lo difícil es que no te de errores al hacer la solicitud.
#30 Tristemente es así. Yo cuando tengo que hacer alguna gestión con la Administración Pública vía internet uso Opera, es el navegador con el que menos problemas tengo a la hora de acceder y usar esas webs.
#30 Los errores en la solicitudes suelen ser, porque en el transcurso de la solicitud, se han actualizado Windows (Update) , Java o el mismo navegador. Por supuesto la solicitud siempre desde el mismo navegador.
#95 Por mi trabajo he visto a mucha gente con problemas al renovar el certificado y nunca fue por eso. Casi siempre fue por no tener bien configurado el navegador, el navegador no confía en la fnmt, tener bloqueada la ejecución de activeX...
#13 El lector de DNIe también andaba por ahí.
#13 Yo he programado una demo 3D en ensamblador y hay veces que no he conseguido hacer funcionar un certificado digital de estos... "just saying..."
#47 Idem: Yo he levantado un cluster de servidores de correo con Postfix para 15000 usuarios y solo consigo hacer una operación bien de cada tres con el DNIe.
La mayor parte de las veces me tengo que ir al puto ministerio a realizar las gestiones.
Esto es super-divertido cuando vives en Nueva York seis meses al año y te piden en la embajada un certificado urgente.
Vaya puta mierda de administración electrónica.
Cl@ve es un sistema orientado a unificar y simplificar el acceso electrónico de los ciudadanos a los servicios públicos. Su objetivo principal es que el ciudadano pueda identificarse ante la Administración mediante claves concertadas (usuario más contraseña), sin tener que recordar claves diferentes para acceder a los distintos servicios.
Cl@ve complementa los actuales sistemas de acceso mediante DNI-e y certificado electrónico, y ofrece la posibilidad de realizar firma en la nube con certificados personales custodiados en servidores remotos.
Se trata de una plataforma común para la identificación, autenticación y firma electrónica, un sistema interoperable y horizontal que evita a las Administraciones Públicas tener que implementar y gestionar sus propios sistemas de identificación y firma, y a los ciudadanos tener que utilizar métodos de identificación diferentes para relacionarse electrónicamente con la Administración.
http://clave.gob.es/clave_Home/clave/queEs.html
#27 ¿firma en la nube con certificado remoto?, ¿y quien te garantiza que estas firmando lo que estas firmando?
basicamente es el mismo problema con las firmas mediante applet de java. Te tienes que fiar de la buena fé de la administración, porque realmente no ves el documento que ese applet está procesado con tu certificado. Si ahora ya ni siquiera tienes el certificado, tela.
Con los applets basicamente son como si vas a la ventanilla del ministerio en cuestión, entregas los documentos, y luego te enseñan un recuadro donde firmar, pero sin ver el documento sobre el que lo estas haciendo.
Con esto de la firma en la nube, ya ni siquiera firmas, le dices un pin al funcionario y él te dice que ya está todo firmado, tu tranquilo.
Con lo facil que seria implementar un sistema con firma local en tu PC, sobre un documento que pudieras comprobar la firma y lo que has firmado, y después upload en la pagina correspondiente, sin applets, sin nube, y sin nada.
#59 Entiendo lo que dices y entiendo que para alguna gente sería interesante, pero explícale eso a mi madre/abuela que no sabe siquiera lo que son las carpetas del pc que busque el documento y lo firme... Eso si, el feisbu y el instagram se lo saben de memoria.
#59 Si no confías en la administración española, apaga y vámonos. El certificado digital lo genera una entidad de servicios de certificación y también te tienes que fiar de ella, si no pasa lo que pasa:
Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]
Symantec pillada emitiendo certificado ilegítimo d...
boingboing.netCon respecto al sistema de firma local ya existe y se llama autofirm@. Puede ejecutarse desde el navegador y permite la firma en páginas de Administración Electrónica: http://firmaelectronica.gob.es/Home/Empresas/Aplicaciones-Firma.html
#77 Es que tengo la manía de querer saber lo que firmo. Y no veo porque hacerlo digitalmente tiene que ser distinto a hacerlo de forma tradicional.
El DNI electrónico es el mayor atentado a la usabilidad en décadas
8 años han pasado desde la primera petición de Mozilla a la FNMT, se habrán quedado agusto.
¿Cuánto a pagado la FNMT para que lo incluyan? Porque estás cosas se hacen por pasta.
#7 ese es el problema.
Mucho Firefox libre y tal, pero mira.
Por ley deberían incluir los certificados de las entidades públicas.
#20 #7 no funciona así, leeros el bug https://bugzilla.mozilla.org/show_bug.cgi?id=435736#c166 y os enterais.
#22 Eso solo habla de las inclusión. Las motivaciones son muy objetivas. Han tardado más de 10 años en incluirla. Lo que pasa que el negocio de la creación de certificados ha decaído mucho últimamente.
#57 Porque las entidades certificadoras tienen que cumplir unos requisitos para no comprometer la seguridad de todos los usuarios de un navegador, un certificado raíz puede firmar cualquier dominio por lo que si yo soy presidenta de la República de Tetrodia y le cuelo a la gente de Mozilla o de Opera un certificado comprometido puedo espiar a todos los ciudadanos del país y censurar los contendidos que me de la gana aunque se use HTTPS *.
En el link de #22 se puede ver todo el proceso que se ha seguido (se ha arreglado la verificación OCSP, etc).
* https://en.wikipedia.org/wiki/Certificate_authority#CA_compromise
#7 El proceso de inclusión no tiene coste, pero requiere cumplir diversas medidas estrictas de seguridad. Durante todos estos años, si lees el bug verás como se han ido solicitando estas medidas, certificaciones... etc
No ha sido hasta ahora que se han cumplido todas. Aquí tienes el proceso, y puedes auditarlo ya que se ha hecho en abierto:
https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/inclusion/
#7 Cuanta desidia hay en las administraciones públicas?
porque con habérselo currado como todos los agentes certificadores que vienen de serie en los SO y navegadores décadas atrás….
#64 Sigo sin entender tus problemas, llevo con certificados en Firefox más de 8 años de la FNMT sin problemas. Se lo instalo a todo el mundo. La página de la FNMT es muy completa en el tema de ayuda. Si el certificado lo solicitantes en IE lo tienes como dices en su repositorio, pero se puede exportar a cualquier carpeta y luego importarlo en FF. Entro sin problemas en cualquier organismo público para realizar cualquier gestión. Siempre con java actualizado (ese es otro tema) En Firefox comprueba en los certificados admitidos CA de ellos, al editarlos, que están activas todas las opciones.
No te preocupes por el negativo.
#72 Tú hablas, creo, del certificado personal. La noticia habla del certificado raíz de la agencia de certificación de la FNMT. El de SSL, para evitar que te salga el mensaje de "sitio no seguro" al entrar en las páginas oficiales de ministerios.
#78 El certificado SSL raiz de la FNMT (lo pone en las preguntas frecuentes) se edita
-Firefox
-Herramientas
-Opciones
-Avanzado
-Certificados
-Ver certificados
-Autoridades
Buscar los certificados de la FNMT
-FNMT Clase 2 CA
-AC RAIZ FNMT RCM
-Editar configuracion de confianza (de cada uno) Y activar todo.
Ya no te saldra "sitio no seguro"
De paso puedes comprobar los servidores de confianza.
Pues muy bien, han mareado a Mozilla para una basura que acabará por no servir para nada porque el sistema seguirá siendo una mierda con tecnología atrasada y web imposible de navegar donde es más fácil entrar en la sección que quieres buscandolo por Google que entre los menús de la propía web.
Puede sonar duro, pero España necesita un cambio generacional de jefes de proyecto. La mitad de ellos se han quedado bloqueados en tecnologías, metodologías y diseños de los 90.
Responsive y Bootstrap, REST, Oauth 2.0, entidades POCO, ORMs modernos, JIRA, Git, Kanban... Todas estas cosas les suenan a chino y dan ganas de llorar a veces.
Si alguno de estos jefes me esta leyendo y está trabajando en alguna web para el gobierno, le doy esto, a ver si les sirve un poco de inspiración y pueden ir tomando nota:
https://www.gov.uk/
Veo muchas menciones al DNI electrónico por ahí... El certificado raíz que ha sido aceptado es el que usa la FNMT para expedir certificados directamente. Los del DNI los expide la Policía Nacional y tienen otro certificado raíz.
#56 Los que expide la policía nacional creo que también dependen de la fnmt
#80 el certificado raíz de la policía lo expidió la FNMT, pero es un certificado raíz, es decir, no cuelga del certificado raíz de la FNMT que ha aprobado Mozilla.
#64 ¿Para Firefox te obliga a tenerlo también en el almacén de Windows? Hasta donde yo sé son independientes...
#65 Sí, tanto el manual de la FNMT como la experiencia dicen que es preciso. Como dije antes, si no lo colocas el certificado de usuario en el repositorio de Inernet Explorer no funciona. Te hablo desde mi experiencia: No hay problema con el acceso a la Agencia Tributaria, pero si intentas descargar una notificación de la DEH (Dirección Electrónica Habilitada) con Firefox, tiene que estar instalado en el explorador de Microsoft.
#66 Será en esa página en concreto, por lo general no he tenido problemas con el certificado instalado en firefox.
No sé. Como inmigrante llevo usando el certificado raíz de FNMT solo con Mozzile desde 2010.
Voy a llorar
Ya era hora, el otro día le configuré el certificado digital a mi mujer y con Edge fui incapaz y con Firefox te avisa de página insegura.
#2 En la misma FNMT tienes un configurador para Firefox, te instala los certificados y librerias necesarias.
https://www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-software/consideraciones-previas
#6 Pero te avisa de conexión insegura
#11 Si ya tienes el certificado raíz instalado, edita las opciones.:
https%3A%2F%2Fwww.sede.fnmt.gob.es%2Fpreguntas-frecuentes%3Fp_p_id%3D101_INSTANCE_5a9kmeLaGgXw%26p_p_lifecycle%3D0%26p_p_state%3Dnormal%26p_p_mode%3Dview%26p_p_col_id%3Dcolumn-2%26p_p_col_pos%3D1%26p_p_col_count%3D2
Hay un apartado preguntas mas frecuentes.
#6 Perdón: iba a contestar y se me fue el dedo al botón de negativos. Busco tu nick y te compenso. De verad, lo lamento.
#6 El configurador no lo arregla todo. Lo que más me fastidia es el hecho de que sí o sí, el certificado debe estar en el repositorio de certificados de Internet Explorer.
#6 Negativo compensado.
#2
Yo sólo busco mujeres que incluyan el certificado FNMT
#8 Pues Virgen María, solamente hubo una y se casó con San José. A seguir buscando.
#10 ¿Pero siguió siendo virgen después de tener a Jesús? Ahhhh
#41 Despues ya lo que quiera... lo importante era que fuera recipiente inmaculado.
#44 Lo importante es que se lo montó con una paloma
#61 ¿Eso se llama zoofilia o colombofilia?
https://es.m.wikipedia.org/wiki/Colombofilia
Segura una web creada por el gobierno de España? Acaso no saben que la administración pública española contrata monos amaestrados y les pagan con cacahuetes?
lo extraño es por qué hasta ahora no lo habían incluido...
NOTICIÓN!!!!1
--nada por aqui--
A ver para cuando añaden CAcert.
#68 Están en la misma situación que estaba la FNMT, falta auditar.:
http://wiki.cacert.org/InclusionStatus.
Alguno de vosotros ha leído la entidad que firma los certificados de la administración? No hablo de la FNMT, sino de webs como el 060:
"Certificado reconocido de sede electrónica, nivel medio. Consulte las condiciones de uso en https://policy.camerfirma.com"
@ 2016 Camerfirma S.A. Todos los derechos reservados.
Huele... a billetes y sobres.
#86 Camerfirma es una entidad certificadora que da menos problemas que la fnmt, ya que si es reconocida por los navegadores como entidad certificadora válida.
Esto es un claro fallo del Morcilla Firefó. Cuando decían que las páginas de la administración española no son seguras es cuando tenían razón.
Y hablo con conocimento de Causa. Guapísima por cierto, la chica.
#91 ¿Piensas que la administración no es la primera interesada en que sea segura? ¿Y desde IE si?
#96 Pienso (y constato cada día desde hace 25 años) que a la administración estos asuntos moelnos se la soplan.