EDICIóN GENERAL
548 meneos
3379 clics

Certificado FNMT en Mozilla por defecto despues de 9 años

El 26 de Mayo del 2008 se inicio la petición formal de añadir el certificado de la Fabrica Moneda y Timbre en el navegador Firefox. Después de 9 años el navegador traerá el certificado por defecto en NSS 3.28.1 y Firefox 51.

| etiquetas: fnmt , ca , certificado , raiz , mozilla
Comentarios destacados:                          
#1 Este retraso no ha sido debido a Mozilla, sino a las enormes dificultades de la FNMT para cumplir con los requisitos que sí cumplen todos los demás certificados.
Este retraso no ha sido debido a Mozilla, sino a las enormes dificultades de la FNMT para cumplir con los requisitos que sí cumplen todos los demás certificados.
#1 Funcionarios...

Y en manos de esta gente quieren algunos dejar nuestra prosperidad.
#2 Mecachis,... lo que tiene hablar y no saber.

¿Podrías mirar la lista de Mozilla y ver el show que dan las empresas externas al negociar meter ese certificado en mozilla?

Si eres de mente abierta igual hasta cambias de postura.
#8 Es alucinante el cariño que le tenéis a los funcionarios en esta web. No sé qué hacen aquí con sus 24k€ de mierda al año cuando podrían estar en Silicon Valley cobrando 250k$.
#48 Ah, sigues aquí.

Has leído ya la lista de correo?
#48 #8 con lo divertido que es hablar sin tener ni idea ( y sin probablemente haberse molestado en leer la noticia tambien) ..., no le rompáis la ilusión al pobre, si eso le hace feliz y le mantiene tranquilo dejadlo que disfrute un poco
#8 Yo sólo sé que usar las webs de la administración suele ser un dolor. Unas requieren java de una versión concreta, otras, otra versión, algunas, sólo determinados navegadores y determinadas configuraciones de seguridad. Ya podían homogeneizar criterios y sistemas. Y no lo digo desde el punto de vista de un particular, que es aún peor, sino desde el punto de vista de un informático que lleva el mantenimiento de la red de un par de asesorías que usan las webs de la administración local, autonómica y estatal de forma cotidiana. Ni queriendo se consigue hacer un sistema menos práctico.
#66 Ya, es lo que tiene subcontratar. A la empresa que hace la web lo único que le importa es ser capaz de que te quedes atado a lo que ellos han hecho.
#21 No. Tienes que rezar a todos tus dioses porque la cosa va por barrios.

La UNED es el ejemplo de cómo se hacen bien las cosas. De ahí para abajo todos.

Ejemplos para llorar: ministerio de interior, trabajo y la APD. La fiesta que tienen liada con el Java es de enmarcar. Cc #66
#76 Cuando además el java no funciona ya en algunos navegadores, y muchas empresas aún tienen XP Profesional en el escritorio. Con que lo hicieran todo compatible con Firefox, ya no habría problemas de java, Windows, Linux... Software libre para todos. Pero no, aún hay administraciones que te dicen "sólo Internet explorer", tristemente.
#43 Claro socialistillo, el Android y el iOS funcionan porque hay una legislación que así lo dicta.
#49 ¿Donde vas a curarte cuando enfermas?
#2 Espero que no tengas nunca un incendio en casa y tengas que llamar a unos "funcionarios" para que te lo apaguen.
#2 Pues qué raro que haya gobiernos autonómicos que tienen sus certificados reconocidos por Mozilla desde hace eones.
#1 Si lees el hilo de bugzilla, hay un momento en que les piden una url para descargarse el CLR el 02-12-2008 y les contestan con la URL el 11-11-2009, casi un año después :clap:
#3 Es espeluznante:  media
#31 "We are agree"
#1 El retraso se debe en parte a la laxitud funcionaria, pero también a que desde Mozilla han tardado un infierno en moverse. La demostración simple es que en Chrome e IE hace tiempo (mucho) que no hay problema para utilizar los certificados de la FNMT.
#16 Yo solo copio:

This bug has been opened for more than a year now, following another previous one, and the delays caused by both sides have been these to date:

Mozilla
-------

26/05/2008 (#5) --> 12/06/2008 (#6): 17 days
12/06/2008 (#6) --> 02/10/2008 (#10): 30 + 31 + 31 + 21 = 114 days

Mozilla total: 131 days


FNMT
----

02/10/2008 (#11) --> 01/12/2008 (#12): 31 + 29 = 60 days
02/12/2008 (#13) --> 12/03/2009 (#17): 31 + 31 + 28 + 10 = 100 days
12/03/2009 (#13) -->

…   » ver todo el comentario
#37 Porque un ”bug tracker” no está para explicar pagos o cuestiones no técnicas, es evidente.

Sea como sea, ese log demuestra que Mozilla tenía la aprobación de la FNMT como CA desde hace ocho años. Si eso a ti no te dice nada...
#38 Mira el resto del log, anda.
#67El log no menciona dinero ni pagos ni nada parecido en ningún momento”.

Lo has dicho tú mismo, chato.
#37 ¿Qué podría salir mal?
#10 IE utiliza los del sistema.
Chrome su no me equivoco también.
Así que si Microsoft los acepta Chrome los acepta, si Microsoft la caga aceptando algo que no debe los usuarios de Chrome están jodidos por haber dejado su navegador en manos de otros algo tan delicado.

Lo cual no es escusa para no revisar el proceso de Mozilla, que seguramente tengan que mejorar y agilizar.
#75 Chrome no es sólo para Windows, también funciona en Linux, OSX, Android... Yo mismo utilizo certificado digital en mi móvil, sin ir más lejos.

Sea como sea, lo que dices también podría haberlo hecho Firefox y así solventar el problema, si hubiera habido interés.
#90 Chrome en linux no pirula con la FNMT. Si lo hace en Windows es porque usa los certificados del sistema operativo.
#90 Más bien dejadez en el interés de proteger al usuario.
Prefiero que no dejen en manos de otros algo tan delicado.
#1 que atrevida es la ignorancia. Antes de comentar es importante saber de qué se habla majo. Mozilla ha estado poniendo palos en las ruedas desde tiempos inmemoriales, sobretodo cuando no se ha querido entrar al juego de Mozilla (cantidades de dinero absurdas)
#16 ¿algún enlace que hable de esas cantidades de dinero?
#28 #78 #85 Josmios...¿De verdad pensais que el dinero al que se refiere #16 es uno que se pone en las condiciones?¿Pensais que en las licitaciones aparecía que debian dar un 3% a los Puyol?
Cuando conozcais las mafias de las CA flipareis...o eso dicen los mentideros.
Las empresas se embolsan un paston por emitir certificados(de 300€ a 3000€ al año y web) pero estos certificados no sirven de nada si el navegador no acepta el certificado añadiendolo a una lista de certificados autorizados. Si…   » ver todo el comentario
#94 incluir un certificado lleva tiempo como explican en el wiki de Mozilla.

wiki.mozilla.org/CA:How_to_apply#Timeline

El mínimo que puede tardar es 8 meses porque prima hacer bien las cosas frente a que haya millones de entidades certificadoras que no guarden a buen recaudo sus claves privadas y pasen cosas como esta:

blog.mozilla.org/security/2011/03/25/comodo-certificate-issue-follow-u

Mientras no se use DANE o un sistema verdaderamente eficaz que evite que una CA pueda liarla parda y comprometer cualquier dominio hay que hacerlo así.

Lo que dices es una suposición, como suponer que si sobornas al cirujano que te va a operar va a hacerlo mejor.
#94 Madre mía, si estás pagando 300€ por cada certificado algo haces mal. Trabajo con esto y por la mayoría de nuestros certificados no pagamos (Let's Encrypt o Amazon Certificate Manager, antiguamente StartSSL). Solo con EV puedo entender que pagues más, aunque en muy pocos casos necesitas EV. Si pagas 3000€, te están timando.

Pero es que además conseguir un certificado para una web y lo que está haciendo aquí la FNMT son procesos totalmente distintos. Estás acusando gratuitamente y sin…   » ver todo el comentario
#28 Yo sí lo había oído por otro lado, de un amigo que trabaja con la FNMT en el tema de certificados.
#16 ¿Pero de qué dinero hablas? Madre mia...
#16 ¿De dónde sacas que Mozilla cobra por la inclusión de nuevos certificados en su navegador?
Aquí informan de cómo es todo el proceso y no aparece:

wiki.mozilla.org/CA
#4 Falso, ayer compilé e instalé el master de opensc y funcionó con un DNIe 3.0 nuevo, de hecho, los commits apuntan a que hay soporte oficial des de octubre-noviembre 2016, ale.
#18 Falso, fué en un Kubuntu 16.04 LTS que aproveché para pasar a 16.10 ya opensc 0.16 sólo está para el 16.10. el kernel que usaba el 16.04 ya incorporaba el driver del lector y no dió ningún problema, eso sí, tuve que instalar los paquetes pertinentes.
#11 Pues te felicito. He intentado instalar el puñetero certificado y al final desistí. Entras en un bucle infinito y nadie soluciona nada. Y es más...Hasta me decía el navegador que el sitio no era seguro. Pa cagarse.
#7 #19 exacto
#21 Seguí paso por paso todas las instrucciones...Y al final el navegador me avisaba que el sitio no era seguro.
Les escribí y me contestaron una cosa completamente absurda sobre algo que no tenía nada que ver.
Tengo otros certificados instalados y no son tan chorras como este.
Barrapunto, cuánto tiempo sin saber de ella... Qué recuerdos!

Y qué curioso agregar una noticia del que fue antes agregador de noticias.
#5 Asocio Barrapunto a KDE3, Bilo y Nano, HackLabs y años que nunca volverán :-)
Qué pesadilla, todo lo de los certificados. Para informáticos y no informáticos.
Todo el sistema de certificados de la FNMT es una soberana mierda. Yo solicité en su día el certificado digital para no tener que emplear el lector de DNI-E. Todo iba de maravilla hasta que se inventaron la mierda esta de Pasarela CLAVE, ahora falla más que una escopeta de feria.

Tanto es así, que he optado por tirar de clave permanente con PIN que por lo menos entra a la primera, aunque tengan que enviarme un código al móvil cada vez que hago login...

Con lo fácil que era antes seleccionar la opción de certificado/DNI-E y listo. Pero no, tenían que cagarla.
#7 pero no lo entiendo. Puedes extraer el certificado del dni en 5 minutos y dejarlo como un certificado digital normal.
#9 Qué te quieres apostar a que no puedes?
#47 No, además, el concepto de smartcard en el DNIe es justamente evitar que puedas sacar las llaves de dentro, así que "Puedes extraer el certificado del dni" va justamente contra el principio básico de diseño de la plataforma.

Tu enlace habla de obtener un certificado de la FNMT, tal como puedes apreciar en la URL.

Vamos, que ya te han contestado a #46 en #52.
#13 eso que dices es una barbaridad. Puedes exportar la llave publica, pero no la privada porque no existe.
#51 Me lo dices a mí? (#13)?
#71 tienes razon, se lo decia a #9
#9 estás seguro de eso?
#27 hombre, si, yo he sacado de mi dni-e el certificado para exportarlo a varios ordenadores. No sé si es que no estamos hablando de lo mismo.
www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-c
#46 eso es obtener el certificado digital de la fnmt, que es un certificado diferente al de tu DNIe però que igualmente sirve para identificarte.

Si se pudiera sacar el certificado de dentro del DNI sería un problema de seguridad muy grave
#52 fue un problema de elegir las palabras para explicarlo, más bien.
En todo caso, ¿lo que yo digo no es lo que quería #7 ?
#64 No, eso es lo que él dice que estaba usando, pero que ahora le da problemas.
#7 Yo sin embargo no he tenido ningún problema para utilizar el certificado de la FNMT en administraciones que usan Clave también.
#9 que barbaridad acabas de decir sin saberlo
#9 No se puede extraer la clave privada de una tarjeta criptográfica, ni del DNI ni de ninguna, por definición. Si se pudiera, no sería una tarjeta criptográfica.
#7 Totalmente de acuerdo. Jodida @CLAVE. :clap:
#7 Que yo sepa, todas las gestiones que pueden hacerse con CLAVE pueden hacerse también con certificado digital. Son dos opciones de identificación para hacer las mismas cosas, nadie te ha obligado a usar una en vez de la otra.
#15 El programa de garantía juvenil por ejemplo tiene deshabilitado el certificado digital...
#24 Ejem... ¿Seguro?
garantiajuvenil.mtin.gob.es/garantiajuvenil/nuevaSolicitud

Todas las gestiones que pueden hacerse con CLAVE pueden hacerse con certificado digital.
#33 Cuando intento entrar con Certificado salta este error: ReferenceError: Can't find variable: MiniApplet
Si intento entrar con certificado a través del sistema CLAVE no aparece la opción.

Puede ser problema de mi navegador, pero por ejemplo en la web de la DGT funciona perfectamente...  media
#60 Mira a ver que no tengas una extensión del navegador que te esté capando algo vital. Desactiva antianuncios, antiscripts y antitodo en las webs de la administración, que están hechas con el culo y son muy delicadas.
#60 ¿Qué navegador usas? El MiniApplet necesita Java, y hace más de un año que Chrome dejó de soportar Java, tienes que usar Firefox o Explorer. Si aún así sigue fallando, vete a la configuración del Java, a la pestaña de Seguridad, y mete la web a la que accedes como sitio de confianza.
#24 Yo lo he usado con el certificado. En Internet Explorer en Windows 10.
#15 No todas.
Si vas a la página de la seguridad social hay algunas operaciones que solo admiten certificado.
#77 ¿Qué parte de lo escrito en #15 es la que no has entendido? He dicho que las que pueden hacerse con CLAVE también pueden hacerse con certificado, no al revés.
#93 La parte en que eso tampoco es cierto.
Por ejemplo, si quieres obtener el "Informe de estar al corriente en las obligaciones de la Seguridad Social"
Pues autentificar con clave o sms (accedes a él directamente) o sin certificado (te lo envían a tu domicilio).
Pero no tienes opción de usar certificado digital.

Son así de especiales, ya ves.
#7 Si tienes DNIe, no puedes exportar ese certificado, pero puedes solicitar uno "idéntico", gratis y al momento -> www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-c

Y te olvidas del lector de DNI y todas sus complicaciones
#7 estás mezclando churras con meninas.

Cl@ve puede utilizarse con certificado, pero también sin él.
Todo lo que se puede utilizar con certificado se puede utilizar con cl@ve, no al revés. Cl@ve, por decirlo de alguna manera, pretende simplificar al ciudadano el uso de la administración electrónico (sobre todo para los que no tienen certificados tradicionales", pudiendo utilizar otras formas de autenticación y firma más laxas (como PIN24).

De hecho, hablas de Clave permanente, que…   » ver todo el comentario
#62 Querrás decir "mezclar churras con merinas" 8-D
#65 cierto :), pero al final, una mezcla que no mezcla igualmente ;)
#62 Se lo que es Cl@ve, de hecho lo has explicado perfectamente. Un sistema que permite acceder a las funciones de la administración electronica sin necesidad del DNIe o del certificado de la FNMT.

El problema reside en que muchas webs de las administraciones han sustituido el acceso por certificado directo a través de la pasarela Cl@ve (que como bien dices, puedes usar clave PIN, clave permanente, o Certificado/DNIe).

Por ejemplo, la página del MECD (antes podías acceder con un login de…   » ver todo el comentario
#82 mejor explicado ahora ;)
Y sí, por desgracia queda mucho que mejorar en la administración y la compatibilidad. Pero precisamente cl@ve es una puerta a la mejora del futuro, pues una página es la que aglutirará toda la autenticación de la administración, permitiendo que no tenga cada organismo que implementar la suya propia.
Esto podría suponer que errores como los que comentas arreglándose en cl@ve se arreglen para toda la administración, y teniendo "bien pulida" cl@ve tendríamos un sistema de acceso no perfecto, pero sí lo suficientemente bueno.
#7 Pues yo estoy contentísimo con lo de Cl@ve. El resto de cosas las utilicé también en un momento u otro, pero Cl@ve no me ha dado problemas.
Pero si el otro día decían en el meneo de la desaparición del programa PADRE que el certificado digital de la FNMT funcionaba estupendamente en Firefox!

www.meneame.net/story/hacienda-publica-calendario-contribuyente-2017-d

www.meneame.net/story/hacienda-publica-calendario-contribuyente-2017-d
#12 Nada impedía añadir la FNMT como certificador de confianza. El cambio es que ahora viene añadido por defecto.
#12 yo lo tengo instalado en firefox y he hecho la declaración de IVA sin problemas. eso sí, me costó la vida conseguir instalarlo.
Si consigues instalar el certificado y el DNIE te convalidan FP2 de administración de sistemas en red :-P
#26 Pues yo suspendí. Sí que instalé el certificado, pero nada que hacer con el DNIe.
q movidas con los certificados de la administración, la de tiempo que han hecho perder a los ciudadanos de este país
#34 Más tiempo hacían perder cuando no los había, que para cualquier gestión de mierda había que personarse en las oficinas de la administración pública y después esperar semanas.
#36 no me has entendido.
los certificados son un avance, pero la implantación desarrollada en el sector público, ha sido cuanto menos cuestionable.
Nunca es tarde si la dicha es buena.... o no
Barrapunto siegue existiendo. Me he quedado muerto.
#39 yo la visito a veces
#39 Si conoces Barrapunto morirás pronto de viejo, no tengas prisa.
#56 Cabrón xD.
#56 Según la prensa en España somos todos jovenes.
maldita pesadilla que son los certificados del copón
Cero empatia con los funcionarios. Cualquiera que trabaje como proveedor para la admon publica puede estar horas describiendo como tiran el dinero
Es el año de mozilla en el escritorio.
No entiendo tu dificultad.

Pedí mi certificado, hice los trámites, hice una copia de él con clave, y lo uso dónde quiero.
comentario borrado
#59 Para que el navegador reconozca un certificado como válido tiene que estar firmado por una autoridad de certificación válida. Dichas autoridades de certificación pueden venir "preinstaladas" con el propio navegador o las puede añadir el propio usuario. En el caso de los certficados de la FNMT sucedía que estaban firmados por una autoridad de certificación no preinstalada en el navegador y era necesario realizar este trámite manualmente, de lo contrario no era posible utilizar un…   » ver todo el comentario
#61 Entendido, efectivamente, tenías que estar dándole a "agregar excepcion" cada vez que intentabas usarlo, pensé que sería algo normal :-) Gracias!
soy nuevo, me registe ayer , me gusta la idea de la comunidad , me podría explicar alguien como va esto , es que ni puedo votar ni puedo crear un sub , tenia pensado crear uno jurídico para resolver dudas y compartir conocimientos , o que alguien lo cree ya que yo o puedo
gracias a todos
#74 tienes que revisar las ultimas noticias enviadas. Si alguna es de un medio del regimen (AEDE) tienes que votar negativo.

lista de medios pro regimen:

gist.github.com/oneeyedman/1ec1b2acbf77cb93fce9
#81 como voto?
como creo sub?
mo se mandan mensajes privados a oros usuarios ?
gracias
#83 No podrás votar hasta que tengas suficiente "karma" (tu valoración como usuario, por así decirlo).
Mejor léete esto: meneame.wikispaces.com/Comenzando
El problema es que Firefox no emplea los certificados raíz del sistema operativo como si lo hacen de forma lógica otros navegadores (Chrome, ie...). El problema subyacente si queréis es la forma en la que funciona la PKI y su centralización. Pero echar la culpa de todo a los funcionarios sin seguramente tener ni idea de como funciona la administración es de un nivel de todología que asusta.
«12
comentarios cerrados

menéame