422 meneos
1179 clics

El certificado raíz de la FNMT cerca de ser incluido en Firefox [GAL]

Después de muchos años, finalmente se vislúmbra la luz al final del túnel. Firefox acaba de anunciar que pronto incluirá la Fábrica Nacional de Moneda (Fábrica Nacional de Moneda y Timbre de España) en su base de organismos de certificación reconocidos. Esto significa que el navegador Firefox reconocerá automáticamente que los sitios web de la sede electrónica de los sitios de la administración pública española son seguros y fiables sin necesidad de realizar complejos pasos previos de instalación manual de certificados.
etiquetas: firefox, fnmt, certificados
187 235 1 K 500 tecnología
Comentarios destacados:                     
#3   Ahora sólo hace falta que el gobierno elimine java como necesario y haga las webs como si estuviésemos en el siglo XXI
#1   Este es el anuncio de mozilla:
bugzilla.mozilla.org/show_bug.cgi?id=435736#c166
votos: 11    karma: 91
#5   #1 Osea, que en vez de mandar el anuncio en inglés, lo mandas en gallego.
Good Job.
votos: 17    karma: 78
#48   #5 Si sabes español el gallego se entiende perfectamente, el escrito al menos.
votos: 6    karma: 27
#54   #48 Si tenéis dificultades con el gallego, con los certificados digitales ya mejor ni lo intentéis.. :roll:
votos: 13    karma: 75
#88   #48 yo debo ser Subnormal porque no entiendo ni el catalán ni el gallego por mucho que la gente diga "esta en tal idioma pero se entiende perfectamente"
votos: 0    karma: 9
#53   #5 handjob, blowjob, rimjob...
votos: 1    karma: 6
#2   Ya era hora, el otro día le configuré el certificado digital a mi mujer y con Edge fui incapaz y con Firefox te avisa de página insegura.
votos: 0    karma: 11
#6   #2 En la misma FNMT tienes un configurador para Firefox, te instala los certificados y librerias necesarias.
www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-s
votos: 11    karma: 79
#11   #6 Pero te avisa de conexión insegura
votos: 3    karma: 32
#34   #11 Si ya tienes el certificado raíz instalado, edita las opciones.:

https%3A%2F%2Fwww.sede.fnmt.gob.es%2Fpreguntas-frecuentes%3Fp_p_id%3D101_INSTANCE_5a9kmeLaGgXw%26p_p_lifecycle%3D0%26p_p_state%3Dnormal%26p_p_mode%3Dview%26p_p_col_id%3Dcolumn-2%26p_p_col_pos%3D1%26p_p_col_count%3D2

Hay un apartado preguntas mas frecuentes.
votos: 0    karma: 10
 *   Cehona Cehona
#63   #6 Perdón: iba a contestar y se me fue el dedo al botón de negativos. Busco tu nick y te compenso. De verad, lo lamento.
votos: 0    karma: 8
#64   #6 El configurador no lo arregla todo. Lo que más me fastidia es el hecho de que sí o sí, el certificado debe estar en el repositorio de certificados de Internet Explorer.
votos: 0    karma: 8
#65   #64 ¿Para Firefox te obliga a tenerlo también en el almacén de Windows? Hasta donde yo sé son independientes...
votos: 1    karma: 18
#66   #65 Sí, tanto el manual de la FNMT como la experiencia dicen que es preciso. Como dije antes, si no lo colocas el certificado de usuario en el repositorio de Inernet Explorer no funciona. Te hablo desde mi experiencia: No hay problema con el acceso a la Agencia Tributaria, pero si intentas descargar una notificación de la DEH (Dirección Electrónica Habilitada) con Firefox, tiene que estar instalado en el explorador de Microsoft.
votos: 1    karma: 18
#83   #66 Será en esa página en concreto, por lo general no he tenido problemas con el certificado instalado en firefox.
votos: 0    karma: 12
#72   #64 Sigo sin entender tus problemas, llevo con certificados en Firefox más de 8 años de la FNMT sin problemas. Se lo instalo a todo el mundo. La página de la FNMT es muy completa en el tema de ayuda. Si el certificado lo solicitantes en IE lo tienes como dices en su repositorio, pero se puede exportar a cualquier carpeta y luego importarlo en FF. Entro sin problemas en cualquier organismo público para realizar cualquier gestión. Siempre con java actualizado (ese es otro tema) En Firefox comprueba en los certificados admitidos CA de ellos, al editarlos, que están activas todas las opciones.
No te preocupes por el negativo.
votos: 2    karma: 31
#78   #72 Tú hablas, creo, del certificado personal. La noticia habla del certificado raíz de la agencia de certificación de la FNMT. El de SSL, para evitar que te salga el mensaje de "sitio no seguro" al entrar en las páginas oficiales de ministerios.
votos: 0    karma: 6
#94   #78 El certificado SSL raiz de la FNMT (lo pone en las preguntas frecuentes) se edita
-Firefox
-Herramientas
-Opciones
-Avanzado
-Certificados
-Ver certificados
-Autoridades
Buscar los certificados de la FNMT
-FNMT Clase 2 CA
-AC RAIZ FNMT RCM
-Editar configuracion de confianza (de cada uno) Y activar todo.

Ya no te saldra "sitio no seguro"

De paso puedes comprobar los servidores de confianza.
votos: 0    karma: 14
#67   #6 Negativo compensado.
votos: 1    karma: 22
#10   #8 Pues Virgen María, solamente hubo una y se casó con San José. A seguir buscando.
votos: 0    karma: 10
#41   #10 ¿Pero siguió siendo virgen después de tener a Jesús? Ahhhh :tinfoil:
votos: 0    karma: 9
#44   #41 Despues ya lo que quiera... lo importante era que fuera recipiente inmaculado.
votos: 0    karma: 6
#61   #44 Lo importante es que se lo montó con una paloma :troll:
votos: 0    karma: 7
#81   #61 ¿Eso se llama zoofilia o colombofilia?
es.m.wikipedia.org/wiki/Colombofilia
votos: 0    karma: 12
#3   Ahora sólo hace falta que el gobierno elimine java como necesario y haga las webs como si estuviésemos en el siglo XXI
votos: 86    karma: 591
#4   #3 Para dejar de usar java como applet se puede usar cl@ve o el programa autofirma.
votos: 1    karma: 19
#9   #3 ¿Te refieres al sistema de custodia de certificados? Hace un par de años fui a una conferencia sobre certificados digitales en la administración publica, y contaron que estaban legislando para poder guardar ellos los certificados digitales en un servidor y darte a ti el pin. Cuando los asistentes con un poco de conocimiento técnico saltamos, llego un secretario de estado que estaba por allí y nos dijo que nos calláramos porque se iba a hacer así. Vamos, que la opinión de los expertos se la pasaba por el ...
votos: 19    karma: 141
#14   #9 ¿te refieres a los certificados con clave privada?
votos: 4    karma: 36
#15   #14 Difícil de creer, ¿verdad?
votos: 3    karma: 48
#23   #15 ojala se pudieran firmar matrimonos con eso pillar el de Rajoy y casarme con el . Si da mucha grima pero imagínate que risas xD
votos: 2    karma: 22
#62   #23 Mejor pillar el de Rajoy y el de Pablo Iglesias... y casarlos a los dos. Eso sí que serían unas risas :-D
votos: 5    karma: 36
#74   #62 pobre coletas, igual cuando se entere echa a arder xD
votos: 1    karma: 13
#90   #74 62 y 23. Lol. Me habéis resuelto el día.
votos: 0    karma: 6
#16   #9 Yo le hubiese dicho "Me acaba de confirmar que no importa hacer las cosas mal, lo que importa es ser secretario de estado. Inculto, pero secretario. Felicidades "
votos: 2    karma: 21
#19   #16 El tema es sacar proyectos y hacer gasto, aunque luego haya que tirarlo porque no sirva. Les estaban demandado un sistema para poder firmar desde cualquier dispositivo (PC, tablet, movil) pero la tecnología del momento no lo permite. Así que, en vez de explicar porque no es posible hacerlo, haces cualquier cosa y te llevas la pasta. Cuando se den cuenta de la picia ya la subsanaran gastando más dinero.
votos: 4    karma: 41
#32   #19 Te respondí en #27 , pero se me pasó hacer referencia a tu comentario
votos: 0    karma: 10
#36   #27 #32 No estamos hablando de lo mismo, Cl@ve es un sistema de identificación basado en la identificación en dos pasos. Normalmente cuando pides tu Cl@ve te mandan un mensaje al móvil. No es tan seguro como la identificación por DNI-e, pero es mas sencillo para la mayoría de la gente.

La custodia de certificados es otra cosa. Un certificado no solo sirve para identificarse, también sirve para firmar documentos. Para que tenga sentido la utilización de clave publica y privada, la clave privada…   » ver todo el comentario
votos: 2    karma: 25
#37   #36 En mi anterior comentario puse:
Cl@ve complementa los actuales sistemas de acceso mediante DNI-e y certificado electrónico, y ofrece la posibilidad de realizar firma en la nube con certificados personales custodiados en servidores remotos.
Además:
Cl@ve permanente ( Cl@ve Personal ): sistema de contraseña de validez duradera en el tiempo, pero no ilimitada, orientado a usuarios habituales. Se corresponde con el sistema de acceso mediante usuario y contraseña, reforzado con claves de un solo uso por SMS, a los servicios de Seguridad Social. Este sistema será además el que permitirá el acceso al ciudadano a la firma en la nube .

clave.gob.es/clave_Home/dnin.html  media
votos: 1    karma: 23
#38   #37 Creo que ha sido el inconsciente, que no me ha dejado leer lo de la firma en la nube. :wall:
votos: 0    karma: 13
 *   gonas gonas
#49   #38 Entonces ¿no guardo el .pkcs en onedrive? :-D
votos: 0    karma: 7
#92   #19 gastando mas dinero en alguna carnica de algun amigo.
votos: 0    karma: 6
#26   #9 Realmente con el sistema cl@ve no tienes ningún certificado sólo "claves" temporales o permanentes y legalmente es equivalente a usar certificado con cifrado de clave pública. Así que ya existe algo de ese estilo
votos: 1    karma: 19
#76   #9 Hace algún tiempo, cuando me enteré del proyecto Clave, también me chirriaron las neuronas. Eso de que la Administración guardará nuestras claves privadas, y sólo firmará por nosotros cuando se lo digamos...

No sólo es cuestión de poder confiar o no en la Administración, es que si alguien consigue tener acceso al almacén de claves central puede suplantar a cualquiera.
votos: 1    karma: 13
#17   #3 Yo no tengo nada en contra da Java, pero lo que hacen en hacienda con los applets de Java, se podría hacer con PHP o ASP facilmente y se quitarían de problemas e historias. Creo que se atascaron ahí con el Java y ya no saben como quitarlo, no tiene explicación.
votos: 10    karma: 66
#18   #17 Si la tiene. Las cárnicas siempre han usado java en el desarrollo de software para instituciones públicas. No tienen expertos en otros temas. Sus jefes de proyecto tienen mucha experiencia en java pero solo java.
votos: 8    karma: 58
#51   #17 Yo he trabajado en la administración, y seguirán con JAVA en 2050 por el mismo motivo que los bancos siguen con COBOL.

Si funciona no lo toques... Lo que pasa es que el politicucho de turno no sabe que no funciona* bien o le importa una mierda porque no da ni quita votos.

* Las cosas funcionan y se demuestra al cliente (administración) que funcionan, lo que el cliente no sabe es la alineación de planetas que tiene que producirse para que le funcione al ciudadano de a pie. #18
votos: 6    karma: 48
 *   --481179--
#93   #18 esas lacras para IT llamadas cárnicas.

#51 se os olvida comentar las versiones obsoletas de jre que requieren para funcionar (que son un problema de seguridad en sí).
votos: 0    karma: 6
#21   #17 Tanto PHP como ASP son tecnologías servidor, no puedes hacer que firmen un documento en el cliente, a menos que pretendas que el cliente envíe sus claves privadas al servidor lo que es realmente una mala idea.
votos: 14    karma: 110
#25   #21 Buen apunte, aunque me parece que se pueden firmar certificados con javascript, no? (kjur.github.io/jsrsasign/)
votos: 1    karma: 19
#28   #25 Tengo entendido que no está suficientemente madura esa tecnología y aunque parece el futuro mientras no se implementa se pueden emplear otras soluciones alternativas como el cliente pesado autofirma:
firmaelectronica.gob.es/Home/Descargas.html
Aplicación de firma electrónica desarrollada por el Ministerio de Hacienda y Administraciones Públicas. Al poder ser ejecutada desde el navegador, permite la firma en páginas de Administración Electrónica cuando se requiere la firma en un procedimiento administrativo.
votos: 0    karma: 10
#31   #25 Sí, se puede firmar algo en JavaScript, pero hasta donde yo sé la API de los navegadores para criptografía sigue estando en fase experimental.

Por ejemplo la librería que pones tiene la limitación estándar de este tipo de librerias JS, que los navegadores no exponen a las webs el almacen de claves, con razón, con lo cual en todas verás que sí, que puedes firmar, pero le tienes que pasar la clave privada/certificado como parámetro a mano, no es muy práctica. Y eso el caso trivial de un certificado tipo FNMT que tienes directamente instalado sin entrar en cosas como firmarlo con el DNIe.
votos: 0    karma: 11
 *   Devlin
#70   #25 En principio sería más peligroso. Imagínate páginas firmando cosas sin que tu lo sepas....
votos: 0    karma: 8
#84   #70 Tendrían que pedir permiso de la misma forma que ya se hace ahora.
votos: 0    karma: 12
#89   #84 ahora lo hace una aplicación externa al navegador...
votos: 0    karma: 8
#42   #3 Sin problema, pero eso van a ser 9 millones de euros por web más. A precio de mercado.
votos: 0    karma: 8
#46   #3 Y que no te obliguen a usar ie7 no el 8 o el 9 que tampoco son compatibles al igual que el resto de navegadores.
votos: 0    karma: 7
#7   ¿Cuánto a pagado la FNMT para que lo incluyan? Porque estás cosas se hacen por pasta.
votos: 3    karma: 36
#20   #7 ese es el problema.

Mucho Firefox libre y tal, pero mira.

Por ley deberían incluir los certificados de las entidades públicas.
votos: 0    karma: 7
#22   #20 #7 no funciona así, leeros el bug bugzilla.mozilla.org/show_bug.cgi?id=435736#c166 y os enterais.
votos: 3    karma: 40
#24   #22 Eso solo habla de las inclusión. Las motivaciones son muy objetivas. Han tardado más de 10 años en incluirla. Lo que pasa que el negocio de la creación de certificados ha decaído mucho últimamente.
votos: 1    karma: 19
#29   #24 Simplemente la administración española no cumplía con los requisitos de seguridad de mozilla en temas de auditoría, etc. Era la propia administración española la que no respondía adecuadamente a las peticiones de mozilla.
votos: 14    karma: 98
#55   #29 bueno, en realidad me he leído el bug entero y veo algo de inutilidad por ambas partes. Más por parte de la FNMT que por parte de mozilla, pero Mozilla también ha metido la gamba varias veces...

"Vamos a abrir un proceso de información pública... Dentro de 6 meses"... Y a los 6 meses... "Ah, espera! Que tengo más dudas!"
votos: 9    karma: 65
#71   #57 Porque las entidades certificadoras tienen que cumplir unos requisitos para no comprometer la seguridad de todos los usuarios de un navegador, un certificado raíz puede firmar cualquier dominio por lo que si yo soy presidenta de la República de Tetrodia y le cuelo a la gente de Mozilla o de Opera un certificado comprometido puedo espiar a todos los ciudadanos del país y censurar los contendidos que me de la gana aunque se use HTTPS *.

En el link de #22 se puede ver todo el proceso que se ha seguido (se ha arreglado la verificación OCSP, etc).


* en.wikipedia.org/wiki/Certificate_authority#CA_compromise
votos: 0    karma: 10
#33   #7 El proceso de inclusión no tiene coste, pero requiere cumplir diversas medidas estrictas de seguridad. Durante todos estos años, si lees el bug verás como se han ido solicitando estas medidas, certificaciones... etc

No ha sido hasta ahora que se han cumplido todas. Aquí tienes el proceso, y puedes auditarlo ya que se ha hecho en abierto:

www.mozilla.org/en-US/about/governance/policies/security-group/certs/p
votos: 10    karma: 82
#50   #7 Cuanta desidia hay en las administraciones públicas?
porque con habérselo currado como todos los agentes certificadores que vienen de serie en los SO y navegadores décadas atrás….
votos: 4    karma: 45
#12   Voy a llorar
votos: 1    karma: 12
#13   En informática hay dos cosas muy dificiles, programar en ensamblador e instalarte un certificado digital de estos. xD
votos: 10    karma: 78
#30   #13 Instalarlo es fácil una vez que lo tienes en el pc, lo difícil es que no te de errores al hacer la solicitud.
votos: 5    karma: 36
#35   #30 Tristemente es así. Yo cuando tengo que hacer alguna gestión con la Administración Pública vía internet uso Opera, es el navegador con el que menos problemas tengo a la hora de acceder y usar esas webs.
votos: 0    karma: 7
#95   #30 Los errores en la solicitudes suelen ser, porque en el transcurso de la solicitud, se han actualizado Windows (Update) , Java o el mismo navegador. Por supuesto la solicitud siempre desde el mismo navegador.
votos: 0    karma: 14
#97   #95 Por mi trabajo he visto a mucha gente con problemas al renovar el certificado y nunca fue por eso. Casi siempre fue por no tener bien configurado el navegador, el navegador no confía en la fnmt, tener bloqueada la ejecución de activeX...
votos: 0    karma: 13
#39   #13 El lector de DNIe también andaba por ahí.
votos: 1    karma: 15
#43   #39 si lo configuras a la primera te ficha la NASA sin entrevista ni ostias
votos: 11    karma: 83
#47   #13 Yo he programado una demo 3D en ensamblador y hay veces que no he conseguido hacer funcionar un certificado digital de estos... "just saying..."
votos: 5    karma: 39
#60   #47 Idem: Yo he levantado un cluster de servidores de correo con Postfix para 15000 usuarios y solo consigo hacer una operación bien de cada tres con el DNIe.

La mayor parte de las veces me tengo que ir al puto ministerio a realizar las gestiones.

Esto es super-divertido cuando vives en Nueva York seis meses al año y te piden en la embajada un certificado urgente.

Vaya puta mierda de administración electrónica.
votos: 5    karma: 31
#27   Cl@ve es un sistema orientado a unificar y simplificar el acceso electrónico de los ciudadanos a los servicios públicos. Su objetivo principal es que el ciudadano pueda identificarse ante la Administración mediante claves concertadas (usuario más contraseña), sin tener que recordar claves diferentes para acceder a los distintos servicios.

Cl@ve complementa los actuales sistemas de acceso mediante DNI-e y certificado electrónico, y ofrece la posibilidad de realizar firma en la nube con…   » ver todo el comentario
votos: 5    karma: 57
#59   #27 ¿firma en la nube con certificado remoto?, ¿y quien te garantiza que estas firmando lo que estas firmando?
basicamente es el mismo problema con las firmas mediante applet de java. Te tienes que fiar de la buena fé de la administración, porque realmente no ves el documento que ese applet está procesado con tu certificado. Si ahora ya ni siquiera tienes el certificado, tela.
Con los applets basicamente son como si vas a la ventanilla del ministerio en cuestión, entregas los documentos, y…   » ver todo el comentario
votos: 2    karma: 22
#69   #59 Entiendo lo que dices y entiendo que para alguna gente sería interesante, pero explícale eso a mi madre/abuela que no sabe siquiera lo que son las carpetas del pc que busque el documento y lo firme... Eso si, el feisbu y el instagram se lo saben de memoria.
votos: 0    karma: 7
#77   #59 Si no confías en la administración española, apaga y vámonos. El certificado digital lo genera una entidad de servicios de certificación y también te tienes que fiar de ella, si no pasa lo que pasa:
www.meneame.net/m/tecnología/symantec-pillada-emitiendo-certificado-g

Con respecto al sistema de firma local ya existe y se llama autofirm@. Puede ejecutarse desde el navegador y permite la firma en páginas de Administración Electrónica: firmaelectronica.gob.es/Home/Empresas/Aplicaciones-Firma.html
votos: 0    karma: 12
#98   #77 Es que tengo la manía de querer saber lo que firmo. Y no veo porque hacerlo digitalmente tiene que ser distinto a hacerlo de forma tradicional.
votos: 0    karma: 6
#40   No sé. Como inmigrante llevo usando el certificado raíz de FNMT solo con Mozzile desde 2010.
votos: 1    karma: 17
#45   El DNI electrónico es el mayor atentado a la usabilidad en décadas
votos: 5    karma: 47
#52   8 años han pasado desde la primera petición de Mozilla a la FNMT, se habrán quedado agusto.
votos: 4    karma: 38
#56   Veo muchas menciones al DNI electrónico por ahí... El certificado raíz que ha sido aceptado es el que usa la FNMT para expedir certificados directamente. Los del DNI los expide la Policía Nacional y tienen otro certificado raíz.
votos: 3    karma: 21
#80   #56 Los que expide la policía nacional creo que también dependen de la fnmt
votos: 1    karma: 15
#82   #80 el certificado raíz de la policía lo expidió la FNMT, pero es un certificado raíz, es decir, no cuelga del certificado raíz de la FNMT que ha aprobado Mozilla.
votos: 1    karma: 12
#57   lo extraño es por qué hasta ahora no lo habían incluido...
votos: 0    karma: 10
#58   Segura una web creada por el gobierno de España? Acaso no saben que la administración pública española contrata monos amaestrados y les pagan con cacahuetes?
votos: 0    karma: 10
#68   A ver para cuando añaden CAcert.
votos: 0    karma: 6
#73   #68 Están en la misma situación que estaba la FNMT, falta auditar.:
wiki.cacert.org/InclusionStatus.
votos: 1    karma: 15
#75   NOTICIÓN!!!!1
votos: 0    karma: 8
#79   Pues muy bien, han mareado a Mozilla para una basura que acabará por no servir para nada porque el sistema seguirá siendo una mierda con tecnología atrasada y web imposible de navegar donde es más fácil entrar en la sección que quieres buscandolo por Google que entre los menús de la propía web.

Puede sonar duro, pero España necesita un cambio generacional de jefes de proyecto. La mitad de ellos se han quedado bloqueados en tecnologías, metodologías y diseños de los 90.
Responsive y Bootstrap,…   » ver todo el comentario
votos: 2    karma: 24
 *   Boleteria Boleteria
#85   --nada por aqui--
votos: 0    karma: 6
 *   AverageFury AverageFury
#86   Alguno de vosotros ha leído la entidad que firma los certificados de la administración? No hablo de la FNMT, sino de webs como el 060:

"Certificado reconocido de sede electrónica, nivel medio. Consulte las condiciones de uso en policy.camerfirma.com";

@ 2016 Camerfirma S.A. Todos los derechos reservados.


Huele... a billetes y sobres.
votos: 0    karma: 6
#87   #86 Camerfirma es una entidad certificadora que da menos problemas que la fnmt, ya que si es reconocida por los navegadores como entidad certificadora válida.
votos: 0    karma: 12
#91   Esto es un claro fallo del Morcilla Firefó. Cuando decían que las páginas de la administración española no son seguras es cuando tenían razón.
Y hablo con conocimento de Causa. Guapísima por cierto, la chica.
votos: 0    karma: 6
#96   #91 ¿Piensas que la administración no es la primera interesada en que sea segura? ¿Y desde IE si?
votos: 0    karma: 14
#99   #96 Pienso (y constato cada día desde hace 25 años) que a la administración estos asuntos moelnos se la soplan.
votos: 0    karma: 6
comentarios cerrados

menéame