414 meneos
10621 clics

La increíble historia de Firefox y el certificado raíz de la FNMT

A estas alturas ya sabemos que la FNMT pasó las validaciones requeridas por Mozilla para añadir su certificado a Firefox, pero pocos sabemos qué estuvieron haciendo durante 8 años para tardar tanto. En este artículo explican lo que pasó durante todo este tiempo.
etiquetas: fnmt, firefox, mozilla, certificados
195 219 3 K 552 tecnología
Comentarios destacados:                   
#16   #6 Esa noticia es de 2006. Actualmente en España es el segundo navegador más usado:

www.meneame.net/story/firefox-supera-uso-navegadores-microsoft-primera
#1   Relacionada: El certificado raíz de la FNMT cerca de ser incluido en Firefox [GAL] www.meneame.net/story/certificado-raiz-fnmt-cerca-ser-incluido-firefox
votos: 5    karma: 66
#2   #0 La importancia de poner correctamente las tildes para no hacer perder el tiempo a los lectores intentando entender una frase.
votos: 15    karma: 83
 *   SGDClassifier SGDClassifier
#8   #2 Perdón por no incluir las tildes, y hacerte perder el tiempo. Por cierto... ¿dónde?
votos: 1    karma: 11
#12   #8 "pero pocos sabemos qué estuvieron haciendo durante 8 años para tardar tanto".

Si no pones tilde, esperas que la frase continúe, y la vuelves a leer dos veces para entenderla y descubrir que le falta una tilde.
votos: 17    karma: 96
 *   SGDClassifier SGDClassifier
#14   #12 Cambiado. No hacía falta ser tan borde. Se explica el problema y se soluciona. Gracias por la corrección.
votos: 20    karma: 113
#20   #14 Yo no lo veo cambiado :-/
votos: 2    karma: 13
#23   #20 Perdón... cambié el "qué" que no era... yo ya no puedo cambiarlo. Si pasa algún admin por aquí... por favor... a ver si él es más ducho que yo :-(
votos: 3    karma: 29
#48   #23 a mi tambien me ha fastidiado muchisimo el que sin tilde, entre mis preocupaciones está en este momento entre "el paro" y "la corrupción", por si hay alguien del CIS en el foro. Menos mal que se han tomado cartas en el asunto.
votos: 5    karma: 33
#52   #23 Sigue habiendo "ques" equivocados. "sabemos qué la FNMT".
votos: 0    karma: 7
#67   #23 Está mal ese "qué" y también "artículo" que lo tienes sin tilde.

A estas alturas ya sabemos que la FNMT pasó las validaciones requeridas por Mozilla para añadir su certificado a Firefox, pero pocos sabemos qué estuvieron haciendo durante 8 años para tardar tanto. En este artículo explican lo que pasó durante todo este tiempo.

Ale, son veinte euros.
votos: 0    karma: 8
#70   #67 ¿Ningún admin? Lo he pedido en la fisgona.
votos: 0    karma: 9
 *   redewa redewa
#78   #67 #0 Corregido
admin
#29   #14 A mí me ha pasado lo mismo, he tenido que leerla un par de veces para entender la frase. Es importante ese "qué" ahí.
votos: 3    karma: 31
#58   #14 Yo igual, me quedé todo confuso y me alegra ver en los comentarios que no fui el único...., porque me quedé pensando... ¿pero ese "qué" no lleva tilde? jajajajaja.
votos: 0    karma: 7
#3   Típica noticia inventada para conseguir clicks.
votos: 22    karma: -64
#5   #3 A mi me resulta interesante.
votos: 5    karma: 50
#10   #9 #5 #7 Sorry. Me confundi de historia {0x1f605}

Comentario correcto en la historia correcta:
www.meneame.net/c/20223601
votos: 7    karma: 49
#7   #3 Y ¿qué se han inventado?, cada punto del artículo está detallado, mostrando capturas y comentarios de la página de Firefox, capturas, etc.

bugzilla.mozilla.org/show_bug.cgi?id=435736
votos: 3    karma: 43
#9   #7 Además yo no tengo ninguna relación con elevenpaths. Sigo su blog (llegué a él leyendo al Maligno) me pareció interesante y lo envié. No hay más vueltas que darle.
votos: 2    karma: 14
#4   Los 240 días de retraso de la FNMT es una buena muestra de lo que les importaba el bug en Firefox, la burocracia tampoco ayudó.

"Even if 131 days is proof that Mozilla needs reviewing his process to get CAs accepted, the 240 days delay by FNMT, 180 days without a single commment, is completely unacceptable.".
votos: 2    karma: 23
#37   #4 Bug? Donde? que no se incluya el certificado no es culpa de Mozilla. Lo que tendria que hacer la FNMT es no pretender que todo el mundo inlcuya su certificado
votos: 1    karma: 12
sid sid
#40   #37 "Bug" suele ser como se llama a un "issue" o elemento "por hacer" en un "bug-tracker". No necesariamente sgnifica que sea un fallo.
votos: 2    karma: 13
 *   Lb2A3qA Lb2A3qA
#74   #40 Issue != Bug
Un issue es un "caso" que puede terminar siendo un error o no
A parte el termino bug no es recomendable ya que da la sensacion de que los errores se introducen por si solos en el codigo como si de animales se tratara. Es mejor llamarlos errores
votos: 1    karma: 12
sid sid
#6   Firefox tiene poca aceptación en España. No creo que este país sea una prioridad para ellos.
www.genbeta.com/actualidad/espana-sigue-estancada-en-el-uso-de-firefox  media
votos: 7    karma: 6
#13   #6 Igual, que en Hacienda y otros organismos oyeras el famoso "con firefox no" ha podido desincentivar su uso. Cuantas más barreras se eliminen más probabilidad de que la gente lo use. Vamos, creo yo.

En lo que a mi respecta estoy encantado. Tanto que todos los años hago una donación a Mozilla. Me parece un gran navegador. Y desde la v.48 va como la seda.

P.S. A la app en IOS si tendrían que darle un repaso.
votos: 16    karma: 120
#15   #13 Yo también lo uso, y me va de fábula.
votos: 1    karma: 14
#31   #13 Firefox en IOS? Es safari por debajo con una capa de pintura, las quejas a Apple...
votos: 0    karma: 6
#59   #13 En Android tampoco va muy fino. Yo lo uso porque puedes ponerle un bloqueador de anuncios, pero le queda aun desarrollo hasta llegar al nivel de chrome.
votos: 1    karma: 13
#65   #59 Te recomiendo JumpGo
f-droid.org/repository/browse/?fdid=com.jtechme.jumpgo
jtechme.github.io/jg/jumpgo
Antes utilizaba UCBrowser que además ahorra datos en la navegación pero prefiero el software libre.
votos: 0    karma: 6
 *   neo1999 neo1999
#77   #13: Y desde la v.48 va como la seda.
Desde la 48? :-D Has estado fino ahí.
votos: 0    karma: 14
#16   #6 Esa noticia es de 2006. Actualmente en España es el segundo navegador más usado:

www.meneame.net/story/firefox-supera-uso-navegadores-microsoft-primera
votos: 21    karma: 185
#17   #16 Gracias, no me había dado cuenta. Puse en google "uso firefox españa" y el que puse fue uno de los primeros enlaces que me apareció.
votos: 2    karma: 32
#21   #6 Supongo que estás diciendo que el Reino Unido no será precísamente una prioridad para Firefox, ¿verdad?
votos: 0    karma: 9
#24   #6 pues si tiene poca aceptación debería ser una prioridad, ¿no?
votos: 0    karma: 11
#41   #24 El huevo y la gallina.
votos: 0    karma: 7
#32   #6 No importa si se usa mucho o poco en españa, creo que los requisitos que exige Firefox positivos para todos.

Mucha incompetencia por parte de la FNMT que desde mi punto de vista debería ser el mayor interesado.

(usuario de Chrome).
votos: 2    karma: 22
#42   #32 Indicativo de lo mucho que le importa a la FNMT el que sigan sin utilizar ni HSTS ni HPKP.
votos: 0    karma: 7
 *   Lb2A3qA Lb2A3qA
#11   ... desde mac os ya es de risa...
(Maquina virtual o naranjas de la china)
votos: 1    karma: 14
#18   #11 ¿?

Yo tengo el certificado de firma digital de la FNMT funcionando perfectamente en Mac, tanto en Firefox como en Safari y Chrome. Y no me costó especialmente, más allá de importarlos como tendrías que hacer igualmente en Windows o Linux.
votos: 4    karma: 45
#22   #18 ¿y te funciona al rellenar un documento on-line con firma digital, por ejemplo en el Ministerio de Educación? (no hablo solo de consultas/descargas p.ej. Agencia Tributaria. Hablo de interactuar on-line)
votos: 4    karma: 36
 *   autonomator autonomator
#35   #22 Sí, hice la declaración de este año con él.
votos: 2    karma: 21
#73   #22 A mi también me funciona en Mac bajo Firefox, con todo tipo de trámites. Recuerdo que no tuve que hacer nada particularmente complicado para configurarlo.
votos: 0    karma: 6
#19   "Por cierto, que la FNMT no utiliza ni HSTS ni HPKP."


Era de esperar, las administraciones públicas españolas siguen ancladas en el pasado.
votos: 2    karma: 26
#25   #19 las cosas de palacio van despacio
votos: 1    karma: 17
#34   #19 Ambos protocolos exigen el uso de HTPPS. La FNMT en el momento que cambias al tema de certificados, pasa de HTTP a HTTPS
votos: 0    karma: 14
#49   #34 Eso es una feature :-) . Si se necesita que se pueda acceder sin cifrado por compatibilidad con navegadores muy antiguos se puede poner un dominio para la web informativa y otro para las gestiones, como tienen por ejemplo la DGT o la Agencia Tributaria. Pero vaya que eso es solo por navegadores obsoletos, bancos como ING usan HSTS y solo se puede acceder a cualquier cosa de su web con cifrado.
votos: 1    karma: 21
 *   ann_pe ann_pe
#26   O puedes usar Chrome y ya está. :troll:
votos: 1    karma: 14
#47   #26 Mira el apartado de navegadores soportados:
www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-s
:roll:
votos: 3    karma: 31
#27   No nos quejemos, que Turkía aún no tiene certificado de seguridad.
votos: 0    karma: 9
#28   La firma electrónica es un gran avance tecnológico, pero culturalmente (usos y costumbres) un "puto desastre".

¡Huid insensatos!
votos: 0    karma: 7
#30   La gestión de certificados de Firefox es de lo peor que tiene. No sé por qué se han empeñado en mantener su repositorio privado de certificados en lugar de usar los del sistema, es un engorro.
votos: 1    karma: 17
#36   #30 LLevo con certificados de clave pública en Firefox con organismos públicos más de 8 años y ningún problema.
Igual es que no tienes activado el ActiveX como alguien me comento. :troll:
votos: 0    karma: 14
#38   #36 Que si el activeX, que si los módulos CSP y PSK, que si Java, que si el I.E. 5.0.2 que se descargó mi abuela... Y como le añadas a la ecuación un lector de tarjetas ya ni te cuento...

Y luego VISA solo te pide 4 números para hacer pagos :palm:
votos: 3    karma: 40
#45   #38 VISA puede cancelar el pago, una firma digital no se puede cancelar.
votos: 0    karma: 7
#50   #45 ¿Y? Mezclas el soporte con la acción, la tarjeta con el pago.

Fui victima de 3000 euros de fraude y VISA no recupero la pasta, pero a mi me pago.

La seguridad eficiente no la da un sistema perfecto, pues es mas economico y práctico desarrollar una cultura.
votos: 1    karma: 16
#51   #50 ¿VISA no recuperó la pasta? ¿Estás seguro? Porque suelen tardar una eternidad en entregarla, así que si reclamaste dentro del plazo... no habrán perdido nada.
votos: 2    karma: 19
#53   #51 Hay miles de millones de fraude con tarjetas diariamente :shit:

Infinidad de sitios donde puedes pagar sin el pin ni que te identifiquen. :shit:

Total, para eso hay un seguro que cubre el fraude y les quedan amplios margenes para estar todos contentos.
votos: 0    karma: 7
 *   RandomAccess RandomAccess
#57   #53 A ver, aclaremos cosas. Cuando pagas con tarjeta de crédito, aunque pagues con la misma tarjeta, no siempre estás pagando "de la misma forma". Dependiendo de las verificaciones de tu identidad que haga el vendedor, recibirá el dinero antes o más tarde:
- Si solo das tu nº de tarjeta, o escanean la banda magnética, suelen tardar un mes o más en liberar el dinero y entregárselo al vendedor. Si reclamas en ese tiempo, el vendedor se queda con un palmo de narices y nadie más pierde…   » ver todo el comentario
votos: 2    karma: 22
 *   Lb2A3qA Lb2A3qA
#60   #57 Este es un buen momento par hablar de seguridad y me temo que te sales del tema. Podía haberte dado detalles de como ocurrió el fraude y no lo hice por lo mismo.

Insisto en que la firma digital es un método muy seguro, pero ineficaz e improductivo. VISA un ejemplo de una seguridad imperfecta, cutre, pero practica, eficiente y con sentido económico.
votos: 0    karma: 7
#63   #60 No me parece fuera de tema. VISA es un sistema en el que se puede dar marcha atrás, y aún en los casos de "transacción final", el PIN solo puedes fallarlo 3 veces, el código al móvil solo puedes fallarlo 1 vez, antes de que te bloqueen la tarjeta.
La firma digital en cambio debe aguantar ilimitados (*) intentos de ataque, durante todo el tiempo de validez del documento firmado.

Simplemente no se puede aplicar el mismo sistema de VISA, con comprobaciones centralizadas, a un sistema de firma digital que deba aguantar comprobaciones distribuidas. Lo contrario, sería usar "notarios digitales", no firma digital.

(*) dentro de lo esperado según lo robusta que sea la clave de firma.
votos: 2    karma: 19
#66   #63 Tienes una visión muy encajonada del sistema de VISA. Me enteré que tenía una tarjeta al ver el fraude en mi cuenta :shit: denuncie y un mes despues volví a tener cargos en mi cuenta y a tener que poner OTRA denuncia por lo mismo. Cosas del Banco Popular y el tratamiento de mis datos.

Un sistema son las personas que lo componen y no los procesos. Si no ves eso no ves el bosque por los arboles.
votos: 0    karma: 7
 *   RandomAccess RandomAccess
#68   #66 Me da la impresión de que no tienes una visión del sistema de VISA. Viste un cargo incorrecto en tu cuenta, reclamaste dentro de plazo, y en vez de darle el dinero al "vendedor", te lo dieron/devolvieron a ti. Al mes siguiente, otra vez lo mismo. El Banco Popular y su tratamiento de datos no veo que tengan nada que ver, deberías cancelar esa tarjeta, pedir una nueva, y no ir metiendo el número de la nueva en sitios raros, ni dejar que nadie lo haga por ti.

Lo de que un sistema son las personas... eso era muy bonito hace 100 años. Hoy tenemos ordenadores currando 24/7, incluso mientras las personas hacen cosas como dormir o ver la tele. A ver quién va a ser el que no ve el bosque.
votos: 1    karma: 13
 *   Lb2A3qA Lb2A3qA
#69   #68 Menudo bocachancla estas hecho :palm:

Vuelve a tu obsesión con la "seguridad". Construyete un bunker en casa en vez de perder el tiempo conmigo :-* :-* :-*
votos: 0    karma: 7
 *   RandomAccess RandomAccess
#71   #69 Veo que hemos llegado a los insultos, o sea que he de suponer que se te han terminado los "argumentos". Pues nada, adios.
votos: 0    karma: 7
#72   #71 Era cariñoso :roll: ¿Como tacharías a quien da consejos equivocados por prejuzgar a los demás y su realidad?

P.D. Como hackivista es un tema que roza el FLAME. No me sorprende que acabemos así :-* No es la primera vez ni será la última que me cruzo con obsesionados por evitar problemas cuando lo sencillo es solucionarlos. :-*
votos: 0    karma: 7
 *   RandomAccess RandomAccess
#54   #36 Efectivamente algunas webs obsoletas de administraciones públicas requieren ActiveX, pero ActiveX no es un estándar, solo funciona en Windows, y ni eso:

kb.mozillazine.org/ActiveX
votos: 0    karma: 10
 *   ann_pe ann_pe
#62   #30 fácil, sacar un fajo de billetes como lo que hacen con m$ no significa que una CA sea segura ;)
votos: 0    karma: 6
#33   Por lo leído parece que la culpa es toda de la FNMT, aunque el articulo diga que "Mozilla" es restrictiva.

Un documento de seguridad tiene que tener ciertas especificaciones y Mozilla tendrá las suyas, si no las cumples estas fuera, no es Mozilla la que se debe a la FNMT, mozilla se debe en este caso a la seguridad de sus usuarios y tendrá unos requisitos mínimos, si no los cumples pues no se acepta y punto.

Ya visto como presentaron la propuesta, con una seguridad de MIERDA y parece que poco interés durante todo el proceso deja todo bien claro.

Por la parte de Mozilla también se ve poco interés, pero es normal, el primer interesado debería ser la FNMT, si tu no te interesas yo tampoco.
votos: 6    karma: 48
#39   #33 En mi humilde opinión la culpa es de quien se obsesiona por la seguridad "técnica", desde los técnicos a los usuarios avanzados. Es mas complicado firmar que contratar un asesino a sueldo en la Dark Web.

Si usaramos esa mentalidad en el mundo real, desconfiariamos de la policia salvo que nos enseñen su placa y DNI...
votos: 3    karma: -8
 *   RandomAccess RandomAccess
#43   #39 La cosa es bien sencilla y que seguramente sera lo que siga Mozilla (aunque desconozco) pides unas exigencias mínimas que la comunidad acuerde que son aceptables para un sistema de seguridad (evidentemente para algo tan importante como la seguridad seran más altas que las normales) y hay que adecuarse a ellas y punto.

Si me dices, la FNMT presento el tema mínimo para pasar el corte pero Mozilla exigió más pues aceptamos Mozilla como "gañanes técnicos" pero el caso que presenta el articulo es el contrario, la FNMT presenta un certificado de mierda de 1024 bits que no cumple los MÍNIMOS con varias carencias básicas.
votos: 1    karma: 18
#46   #43 Querido GoDie, los certificados en sí son ineficaces (OVERKILL) y mi propuesta es que no se usen. Pagamos miles de euros solo con dar 4 números que algunos no han cambiado en 20 años. En parte es lo que está ocurriendo, que hacienda me manda un SMS todos los años para acceder a mi borrador.

En el mundo real puedes darle una patada a la puerta de mi casa y entrar. La seguridad no es una cuestión de tener una puerta blindada, sino de tener una cultura (usos y costumbres).

Un saludo de quien ha sufrido decenas de horas para instalar los putos modulos PKCS y los CSP, y el java y la madre que los parío a todos :troll:
votos: 0    karma: 7
 *   RandomAccess RandomAccess
#44   Pues ahora me entero de que habbía que instalar el certificado porque existía este problema... Yo instalé el certificado en firefox y chrome el Linux... hasta donde yo sé en linux hay que instalarlo también en Chrome. No es así?
De hecho toda la vida he usado el certificado del FNMT en firefox y ni sabía esto...
votos: 0    karma: 9
#61   #44 Sí, en Linux con Chrome hay que instalarlo a mano ya que no viene con los certificados en el sistema; básicamente en muchas distros Linux los certificados raíz que vienen con el sistema operativo son justamente los de Mozilla (por lo menos en Debian y RedHat + derivadas es así)
votos: 0    karma: 11
#55   Alguien sabe si funciona ya el DNIe 3.0 en Linux?
votos: 1    karma: 13
#56   ¡Qué bien! ¿Para cuándo el del gobierno chino?

Relacionada: www.mejor-antivirus.es/noticias/china-ataque-mitm-google.html
votos: 1    karma: 19
#64   Al fin. Muy útil para ordenadores de casa que son OSX y Linux. No tanto para los Windows de casa ni entornos corporativos Windows, pues el Firefox 49 parece que va a ser capaz de acceder al Certificate Store de Windows.

wiki.mozilla.org/CA:AddRootToFirefox
bugzilla.mozilla.org/show_bug.cgi?id=1265113
votos: 0    karma: 6
#75   Este pequeño detalle tiene lo suyo, estás pidiendo un favor y presentas esto: En febrero de 2010, la FMNT pide desbloquear la situación, porque cree ya haber aportado todo lo necesario. Mozilla se queja de textos en español, y que no puede copiarlos y pegarlos por ser PDFs protegidos.
También se quejan en Europa de que los jueces españoles no atienden a las comisiones rogatorias por estar en inglés, y muchos de los que las atienden contestan en español. It's very difficult todo esto.
votos: 0    karma: 10
 *   CHN
#76   Viendo como son la mayoría de páginas web de ministerios e instituciones públicas en celtiberia, y de como es el software de los lectores de pasaporte del aeropuerto, que parece todo hecho por primos y cuñados del jefecillo de turno, la historia me huele a mi a pura pereza e inmovilismo de la fnmt, que con toda probabilidad debe estar llevada por funcionarios con todos los tics del funcionario de toda la vida.
votos: 1    karma: 19
#79   #78 Gracias, te voto positivo.
votos: 0    karma: 8
 *   Marx
#80   Pues nada, llegó la actualización de firefox y sigue sin reconocer a la FNMT.
votos: 0    karma: 9
comentarios cerrados

menéame