FNMT: Navegador no soportado

¿Y os escandalizais? Puedo contar absolutas historias de terror de la plataforma Séneca, como cada vez funciona con un navegador distinto, con una distribución java distinta que por supuesto no es la última, de lexnet, que también es otro cachondeo o de la cantidad de páginas gubernamentales que no tienen https, ya hablamos en otro momento de la app de la fnmt, que la quitaron por un agujero inmenso de seguridad y aún no la han repuesto más de un año después.

#19 Volver para atrás en el Firefox no era viable

Sí lo es: Instalas una versión portable de FF y solo lo utilizas cuando tengas que hacer un tramite con el certificado

#4 Ya no es solo los certificados, casi todas las aplicaciones de la administración pública son penosas. Mira la página para renovar el DNI, que me dicen que es de principios del 2000 y me lo creo. Y no intentes pagar la renovación, que en lugar de simplemente pedirte la tarjeta como cualquier tienda online te obliga a instalar un software de terceros.

Y podríamos seguir. Mira la web del DOE (Diario Oficial de Extremadura), Extremaduratrabaja, la cual ni tiene certificado tampoco. Etc, etc. Me resulta asqueroso para mi que soy Ingeniero Informático, no quiero ni imaginarme lo que sufrirían mis padres. Normal que a día de hoy la población siga prefiriendo los trámites presenciales.

Tengo que escribir un artículo en meneame detallando mas mis últimas peripecias, a ver si puedo hacerlo mañana.

#6 Microsoft ha dicho mil veces que dejemos de usar el puto IE.

#53 las web de la administracion , seguridad social ,casa de la moneda, dni, ministerior del exterior son basura, ergo si es fácil culpar a la panda de enchufados que las llevan

#12 no es un tema menor, es decir, es un tema mayor.

Rajoy.

#46 Podría ser viable, pero el problema es que como digo es un certificado temporal que solo se usa para el trámite de obtención del certificado real, pedirle a un usuario que instale un certificado temporal es confuso, muchos lo confundirían con el certificado final y se frustrarían al ver que no pueden usarlo para identificarse con la administración.

#18 No es eso, lo que ocurre es que usan un certificado temporal para identificar al navegador y asegurar que solo puedes descargar el certificado en si en el mismo navegador en el que has iniciado el trámite.

El trámite funciona así: vas a la página de la FNMT, solicitas el certificado, vas a un sitio de la administración específico (hay múltiples en las ciudades, existe un mapa donde puedes ver los sitios) y ahí te identificas físicamente con tu carnet de identidad. Una vez te has identificado, vuelves a casa y puedes descargarte el certificado con el mismo navegador que usaste para iniciar el trámite.

La FNMT(fábrica nacional de moneda y timbre) proporciona los certificados oficiales de la administración y su página usa dos tipos de autenticación de navegador, para explorer usa un active X de microsoft, para el resto usaba la etiqueta html keygen, que ha quedado eliminada del estándar y ya no es soportada por ningú navegador moderno (salvo tal vez safari). Esa autenticación solo se usa como parte del trámite de identificación física del solicitante del certificado, una vez estás identificado y has descargado el certificado puedes usarlo en cualquier navegador (aunque la verdad es que las páginas de la administración dan muchos problemas con los certificados).

#18 Hombre que VeriSign sea una autoridad mayor que la de un Estado sí que es una chapuza informática, que no te digo que no sea más cómodo pero tampoco sería nada inteligente desde el punto de vista del Estado.

#72 a meneame hay que venir con 1º de memes aprobado

#1 Máquina virtual, se que soy muy pesado, pero es lo único que me ha funcionado durante varios años sin joderse.

#4 nosotros usamos un Firefox portable para hacer las instalaciones de certificados. Y una vez obtenido, lo exportamos a Chrome o al Firefox bueno. De esa manera no tienes que bajar la seguridad.

#29 Conozco tu dolor, yo también lo he sufrido en mis carnes, actualmente trabajo dando soporte a usuarios en una empresa y los certificados son un auténtico dolor de huevos, más aún cuando encima tienes los permisos para modificar muchos temas de seguridad capados por políticas...

La solución que he usado en los últimos trámites ha sido instalar firefox ESR para que hagan el trámite de obtener el certificado y una vez obtenido, descargado, guardado por triplicado en varios sitios, incluido un espacio que tienen los usuarios en la NAS de la empresa (así no lo pierden, que es algo MUY habitual) se les vuelve a poner la última versión de firefox... y aún así hay muchos problemas, versiones de java, versiones de navegador, settings diferentes en java para los diferentes sitios de la administración (los que valen para un sitio puede que no te valgan para otro...)

Puto infierno, en serio, los trámites electrónicos con la adminsitración son lo peor.

#36 Efectivamente, Firefox no debería haber quitado el soporte a Keygen tan rápido, especialmente debido a que afirmaron que no lo iban a quitar. Eso no cambia el que el keygen fuese inseguro al usar MD5 como estándar de encriptación. La realidad también es que cuando chrome eliminó el soporte a keygen la FNMT debería haber corrido a implementar algo que le permitiese hacer una autenticación del navegador que funcionase de forma universal, en lugar de ello se excusaron en que la mayoría usaba explorer y firefox para entrar en la página (no te jode, solo funcionaba ahí)...

#23 Aún recuerdo cuando todos los sitios oficiales del gobierno daban error de certificado al entrar.

#3 La Administración OBLIGA solo en determinados casos, que suelen ser los de índole profesional. Para temas personales no puede obligarte a tener certificado digital, no viene recogido en la ley.

#59 no te voto negativo porque tu comentario no atenta contra las normas, pero ganas dan . Mira que es cutre la broma. Sólo puede hacer gracia a quien no sabe pronunciar el sonido /ʒ/ .

Para los usuarios de a pie es terrible gestionar temas con la administración pública.

Yo opté por crear una máquina virtual solo para los trámites legales y no instalar más que el soft y plugins recomendados y todo va de fábula pero en un PC real con más software instalado al final no funciona nada.

Claro, se lo explico a los no informáticos y cuando les hablo de máquinas virtuales me mandan ATPC.

Nada nuevo bajo el sol, pero creo que aunque sea un tema "menor", nos deberíamos organizar para exigir mayor responsabilidad y diligencia a la hora de tratar con la seguridad informática en la administración española.

#1 doy fe. Sólo uso Linux y tuve que pedirle a la gestoría que me realizara la puñetera renovación.

#23 A mí se me revocaban 2 CA's de la FNMT (representante y usuarios). Pero lo hacen tan mal, que no saben ni lo que hacen con los certificados para que el Firefox lo acepte a la fuerza.

ES más, la de veces que tenía que quitar esos 2 certificados de la FNMT.

#84 Es un dislate total lo de esta gente, y del DNI electrónico mejor ni hablamos.

#55, en Mac al igual que en Linux tienes Firefox.

#63 En mi caso la variedad de sistemas operativos y configuraciones diferentes que entran por mi puerta excede cualquier frontera numérica conocida...y perfiles, estudiantes o jubilados, y trabajadores de todos los sectores. A veces quiero llorar.

#47 Algo están haciendo, según la página de la FNMT están desarrollando alguna solución... pero hay que tener en cuenta que debe ser un sistema muy robusto y seguro, debe ser absolutamente imposible que alguien pueda ejecutar un ataque man in the middle para obtener el certificado, debe asegurar al 100% que es ese navegador y equipo y no otro... de lo contrario puedes tener problemas graves ya que el certificado de la FNMT permite hacer trámites muy sensibles y obtener datos privados del usuario, incluyendo temas de historial médico, impuestos, historial de la cotización...

#4 El problema es algo más básico que eso: el simple hecho de meter manualmente un certificado al navegador es ya un peligro de seguridad.

¿Quién nos garantiza que el gobierno no usará ese certificado para interceptar el tráfico de sitios seguros de terceros? Tal vez mañana un juez decida qué va a autorizar que se suplante la identidad de Google por ejemplo para meter software falso en todos los teléfonos Android (por ejemplo una actualización falsa del teclado) y así espiar a "los terroristas". Y con la clave privada de la fnmt eso será perfectamente posible.

#22 ¿En el municipal? El jefazo supremo del departamento de informática de la Generalitat Valenciana era un funcionario que había ascendido por antigüedad y tenía conocimientos medios de ofimática. Salió en prensa. De llorar mucho.

#3 Hola, lo que digo, es que unos pocos meses no es el fin del mundo. Al menos esa es mi opinión. ¿Qué sería estupendo que funcionara desde el primer día? Está claro. ¿Que prefiero que vayan un poco por detrás pero minimizando los fallos? Eso también.

El problema aquí radica en que FNMT-RCM seguramente necesite una evolución de su programa para trabajar con las nuevas tecnologías de navegadores, en vez de adaptar sus certificados a los navegadores compatibles. Pero eso significa dinero. Lo que pasa es que ellos se escudan en que la gente entra normalmente con IE o Firefox, lo cual, por otro lado, es lógico ya que son los navegadores soportados.

Chrome no puede usarse ya que hay un problema técnico: han desactivado la posibilidad de generar claves privadas para certificados. Ahora lo puedes hacer manualmente, pero ya han anunciado que quitarán dicha opción en el futuro.

#35 Alguien consideró que el estado era autoridad suficiente para certificarse a si mismo y le dio por saco gestionarlo con los navegadores. En fin.

#121 #20 me pasó hace unos años de tener que bajarme el Windows XP pirata para instalarlo en una máquina virtual solo para tener el IE para renovar el certificado.

Hace unos meses también me las vi para firmar en Debian una solicitud de registro de marca en la Oficina Española de Patentes y Marcas. De hecho no se fue con Firefox o Chrome, pero con uno no pude firmar.

#141 Esas cosas siempre se hacen con concurso público, no hay muchos desarrolladores en la administración... así salen las cosas, no tienen nadie decente.

Oh, esto lo he sufrido yo para instalar un certificado! Volver para atrás en el Firefox no era viable así que tuve que aprender a abrir el Internet Explorer en Windows 10 (no es nada fácil, lo tienen bien escondido).

#19 bueno nada fácil tampoco...solo hay que escribir "Internet Explorer" en el buscador de Windows.

#6 pues bien que te cascan pasta por sacar certificado para persona juridica o representante, ya podían invertir algo

#58 por supuesto que si. ambos certificados tienen clave privada de serie.
En Firefox

#83 ufff y yo pensaba que con trabajadores que tienen muñones en vez de manos lo tenía mal... al menos yo solo tengo que lidiar con un par de versiones de sistema operativo (aunque estamos terminando la migración a windows 10 y pronto todo el mundo estará en la misma versión de SO)...

#7 Hasta que me separé de mi pobre ex, maestra, las tuve que pasar putas con el Seneca y sus perks, se notaba mucho el trabajo de lo que yo llamo “programador de salón” controlando todos los inputs pero sin facilitar la usabilidad.
Recuerdo la barbaridad de poner la evaluación del 1 al 31 del mes y decir que el 1 es domingo y la entrada no es correcta.
Un horror.

#155 #151 vale, y el soporte a chrome? Ópera? Brave? Edge? También es culpa de intel no?

La aplicación del gobierno es una mierda, no intentéis poner el ventilador de mierda

#169 eso, sigue con el ventilador de mierda.

#121 Para estas cosas están nuestros impuestos.

En la AEPD, hace unos meses, no pude poner una reclamación porque la validación de campos en Javascript estaba mal y llevaba así desde hacía un mes. Le pregunté al técnico con que hablé si era él el responsable, para poner o no una queja, porque el hombre no podía estar más avergonzado y no quería ponerla si iba a ser contra él.

Me explicó que no era él el responsable, pero que los que desarrollan la página son todos becarios. No puse la queja porque entendí que no es un fallo puntual sino algo estructural del sistema y eso hace ya tiempo que lo doy por perdido.

#22 No me extrañaría que también haya bastante de eso.

Yo trabajo en un SAT cara al público y tengo esta guerra a diario...cuando al usuario no le quedan lágrimas para seguir llorando, acaban en mi mostrador. El último, hoy mismo, con la web del Ayto. de Cartagena, intentando presentar una factura, por supuesto ha habido exportar certificados a IE para poder hacerlo. El anterior, ayer, con el SAS...y así todos los días...

#18 Es España. No hay mayor autoridad que la del Estado Español.
Quieren controlar ese certificado raíz. Ni idea de por qué no lo incluye la fundación Mozilla. En los otros navegadores imagino que tendrían que pagar.

#44 ¿Y programar en Javascript todo, todo (la generación de todo el certificado digital), utilizando HTML5 para poder, al final, grabar en disco local el certificado, y que el usuario se lo instale?

#33 y por qué narices no usar alguna libreria en JS que lo haga igualmente en cliente?!

#58 Esa clave privada se genera solo cuando vas a pedir el certificado a la administración (en el proceso de demostrar la identidad). Mozilla eliminó el soporte debido a que la etiqueta keygen ya no es parte del estándar html y usa una encriptación débil (MD5), lo que hacía que el sistema de keygen fuese vulnerable.

#15 nosotros llamamos a los técnicos porque yo era incapaz de hacerlo funcionar.

Ves como se conecta el técnico de la administración con el TeamViewer, e instala los certificados a mano en Firefox para que funcione, yo flipando y preguntándole que que mierda era eso.
La única forma de que funcione.

Portátil del abogado en su propia vlan......

#99 VirtualBox es vuestro amigo.

#75 Hombre tener el Chrome actualizado con las admx es muy fácil.
Con Firefox tenías el archivo prefs, ahora han sacado admx al final, aún no he jugado con ellas.

Tener el Firefox Java y demás, actualizado por seguridad y pelearte con la administración porque requiere versiones antiguas.
O el Java 32, que como pongas el 64 no funciona

#121 Es lo que tuve que hacer yo

#65 ¿alguien usa el DNI electrónico? con lo mal que va se me hace raro... pero si que es cierto que el que solo puedas renovar el certificado una vez es una molestia enorme... no es viable para todo el mundo ir a un sitio donde certificar tu identidad, el horario no siempre es compatible, no siempre es un sitio fácil de acceder. Yo cuando me saqué el certificado aproveché que estaba de vacaciones y que el ayuntamiento de la localidad donde estaba daba la posibilidad de validar la identidad y estaba cerca, de lo contrario no hubiese podido sacar el certificado, trabajo a las horas en las que esas oficinas están abiertas...

#26 Es que, esta gente está anticuada, no querrán utilizar el HTML5, hasta que haya un estándar que permita sustituirlo todo.

#97 Yo no tengo pegas, uso 'Cl@ve', porque es la mejor manera de no volver a usar la FNMT, que da muchos problemas.

#2, pues diría que precisamente por temas de seguridad lo ideal es tener el navegador actualizado.

#160 Para eso se supone que está el dni digital, es una tarjeta de identificación con clave privada y pública, lo malo es que el soporte que existe es casi inexistente, no hay casi lectores, en esencia es un desastre.

La empresa en la que trabajo usa la tarjeta de fichache como sistema de identificación mediante PKI y funciona perfectamente... si una empresa puede implementarlo sin problemas la administración jamás debería haber tenido problemas en hacerlo, pero aquí estamos en 2019 y el dni electrónico tiene una implantación nula pese a que todo el mundo tiene su DNI electrónico con sus correspondientes claves privada y públicas.

#7 Te has dejado atrás el portal de la receta XXI de la Junta de Andalucía.

#14 Nada te impide utilizar otro certificado reconocido

#15 la podéis llamar plataforma INYUSTISIA

#22 has dado en el clavo

#38 No fue por un error de trámites, fue por burocrácia... https://empresas.blogthinkbig.com/la-increible-historia-de-firefox-y-e/

Y atención al razonamiento:

http://tucertificadodigital.es/adaptacion-a-navegadores-y-otras-incidencias-con-el-certificado-digital/

Vienen a decir que no es culpa suya que el mundo avance y que no hay ni dinero ni intención de contratar un equipo que se encargue. Y que sus clientes usan IE en Windows XP según unas estadísticas nada claras en JPG. Me pregunto qué proporción de esos usuarios son ordenadores de la propia administración, que es bien sospechosa de la misma actitud retrógrada a la que huele aquí. Y cuánta gente desempolva el ordenador de 2005 para acceder al servicio para no tener que instalar versiones antiguas e inseguras en su ordenador.

Y aún son capaces de argumentar que también es por seguridad. ¿Cómo de seguro les parece incitar al uso de sus certificados en un sistema operativo sin soporte?

#53 Vaya cacao tienes, eso fue el certificado para instalar addons, para nada el de la FNMT

Marca España

#33 Muy bien, sin embargo ningún estado Europeo se ha planteado alternativas serias, como:
- Promulgar legislación que obligue a las empresas encargadas de los navegadores a ofrecer soluciones duraderas, estandarizables, y compatibles con certificados digitales PKCS y toda la mandanga.
- Pagar a esas empresas para que mantengan determinadas características útiles.
- Desarrollar algún(os) complemento(s) que se encargue(n) de gestionar toda la maquinaria criptográfica necesaria para operar con esos sitios (o pagar a alguien para que lo haga).
- O en general, ya que estamos, mover un poco el culo para que la industria del software en Europa tenga algún papel mínimamente relevante, que estamos no a rebufo, sino atados a un árbol mientras USA, China, Korea y otros corren con su F1.

#2 Pues ha mejorado recientemente. La última vez que intenté con una de estas me exigía uno de hacia mas de 4 años.

Yo ahora voy tirando con el Autofirma, que dentro de lo que es funciona. Deberían pasarse a html5 y dejarse de chapuzas.

#96 Maquina virtual + Pihole es mano de santo y a ser posible en Docker:

- https://hub.docker.com/_/ubuntu
- https://hub.docker.com/r/pihole/pihole

#33 ¿Y no hay forma estándar de hacer lo mismo?

#50 Ah, vale... ahora veo por donde van los tiros...

#33 muy bien explicado, mis dieses.

Mi impresión es que no tienen soporte de actualizaciones para ese desarrollo de su aplicación, no quieren meter pasta o les da vergüenza sacar concurso público para que se lo hagan y el personal interno no se ve aún capacitado.

#129 Yo la usé un tiempo y el engorro solo para hacer un trámite y el coste, si se quiere ser legal, de tener dos licencias de lo que haga falta, no merece la pena.

#50 Mmmm... dándole algunas vueltas, creo que una solución sería programar todo en Javascript/webasm, y usar HTML5 Web Storage para almacenar el certificado temporal, y que la autenticación se haga también mediante código en el navegador... Complicado de programar, sin duda, pero sería una solución estable a largo plazo.

#4 En mi caso particular, instalar los certificados me ha resultado bastante fácil. Hace años me resultó muchísimo más complicado.

Me vendría bien que alguien me explicase como funcionaba el sistema de "generar clave privada a partir de un certificado". ¿El Dnie no lleva dentro un certificado, o una clave privada, con la que te identificabas y firmabas digitalmente?

¿Chrome y Firefox ya no son compatibles porque no permiten que el driver del lector de tarjetas inserte dinamicamente la clave del certificado del dnie en el navegador? ¿O es otro problema?

En otros países donde no hacen chapuzas electronicas como españa, ¿cómo gestionan los certificados digitales? ¿Qué otros métodos de identificacion y firma recomiendar usar Mozilla y Google?

#54 ¿El certificado de la FNMT... y el del DNIe... no incluye una clave privada de serie?
¿Por qué Firefox

#19 Pon en el buscador de Windows "Internet Explorer" y te sale a la primera.

#70 Pues no tenia ni idea

#68 puede ser que se te hayan caducado los certificados del DNIe. el DNIe tiene una validez de 10 años, pero los certificados electronicos internos del DNIe deben ser renovados cada 2 años en una maquina de DNIe que esta en las oficinas de la policia nacional.
Si, yo tampoco lo sabia.

#10 #47 #33 Se pueden picar la librería en JS para hacerlo, pero entiendo que no es una opción.

Existen y se usan en sistemas en producción con la seguridad por bandera, todo en cliente.

Es una vergüenza que no estén actualizados. Y a tí te falta un papel y ya tienes multa... Es otra injusticia más al saco.
Las razones supongo que pasan por la corrupción.

#95 En realidad, según este thread (que incluye respuestas de tim berners-lee se usa md5 como parte del proceso de creación de la clave privada con el elemento keygen: https://lists.w3.org/Archives/Public/www-tag/2015Sep/0001.html

En mi humilde opinión están haciendo perder el tiempo al que no lo tiene. Pero eso lo hace una serie de funcionarios acomodados que no les cabe en la cabeza ( o lo que sea que tengan encima de los hombros) , que los ciudadanos que necesitan un DNI-E, no les sobra tiempo para nada y menos para hacer varias visitas presenciales a una oficina y ponerse a la cola para hacer algo como una solicitud de un trámite normalito.

¿Hay que ir una vez por motivos de seguridad? pues vale, pero acostumbran a hacerte perder el tiempo teniendo que ir más veces de lo necesario. Podían hacer que fuera más sencillo pero les da lo mismo.

La FNMT se está tomando el asunto con un desprecio absoluto hacia el tiempo de los ciudadanos.
Supongo que el director general de la FNMT, continua siendo Jaime Sánchez Revenga. Sea quien sea habría que decirle que ya vale de hacer perder el tiempo a tantísima gente.

#1 Pasa en todas las sedes electrónicas de la AGE. La razón es que los navegadores modernos no admiten applets.

#62 Las llevan empresas externas como Indra, Everis, Software AG,...Y es normal que las critiques. No tienen ningún interés en el servicio público solo en ganar dinero.

En realidad estás haciendo un elogio de los funcionarios. Cuando el desarrollo era asumido por los funcionarios todo funcionaba mejor a pesar de que la tecnología antes no permitía cosas que ahora sí podrían hacerse.

#161 Podría funcionar, lo malo es que esas características no son compatibles con explorer, vale que es un navegador a "matar" pero aún hay mucha gente con equipos antiguos... supongo que podrían seguir manteniendo los active X para aquellos que usan aún explorer y tienen equipos antiguos y una solución como la que propones para equipos más modernos.

Edito: hay otro problema, a diferencia de keygen que genera y guarda un certificado, el web storage se borra al limpiar las cookies, por lo que no es tan robusto como el sistema que usaban... pero al menos funciona en los navegadores modernos.