Hemos detectado que usted no ha seguido las instrucciones para solicitar el certificado con el DNIe y está utilizando un navegador no soportado. Por favor, utilice uno de los siguientes navegadores para realizar su petición. Mozilla Firefox. La versión 69 y superiores no están soportada. Internet Explorer
|
etiquetas: fnmt , certificado , obligatorio , desfachatez , otravez
Es absolutamente demencial.
Hasta para mi, que trabajo en temas de seguridad informática y llevo pegándome con certificados desde hace más de 15 años, en ocasiones me ha costado un dolor de cabeza.
Para usuarios particulares es complemente inviable.
No es mínimamente presentable la situación de la FNMT.
Un usuario doméstico (o muchos empresariales) no tienen que tener conocimientos avanzados de administración de sistemas para instalar o actualizar un certificado. Y menos a costa, a día de hoy, de tener que reducir los niveles de seguridad y protección del navegador, tal y como está el patio.
No es de recibo, sobre todo como dice #3, cuando la administración te exige, no recomienda, exige, disponer de un medio de acreditación de la identidad electrónica.
FNMT usa ese elemento para identificar al navegador cuando vas a solicitar el certificado digital, de ese modo el certificado solo puede ser descargado desde el equipo y navegador que inició la solicitud. La idea es buena, pero los problemas de seguridad que conllevaba esa etiqueta (en esencia le da al navegador la posibilidad de modificar el SO al añadir un certificado sin que el usuario se entere ni lo autorice. Además, el estándar de keygen usa algoritmos de encriptación poco seguros(MD5). lists.w3.org/Archives/Public/www-tag/2015Sep/0001.html
En el caso de explorer lo que usan es un complemento active X(CertEnroll/XEnroll), por eso sigue funcionando. En cualquier caso, si obtienes el certificado con Explorer puedes usarlo en otros navegadores sin problemas, no necesitas usar versiones antiguas de navegadores ni seguir usando el explorer.
Hablamos de certificados digitales que la Administración OBLIGA a tener. Y que se supone que mejoran la seguridad precisamente. Y por eso hay que usar software anticuado. Por cierto, la versión 69 salió en mayo de este año wiki.mozilla.org/Releases/Firefox_69 y tampoco está soportada. (perdón, corrijo, es de septiembre, es cierto)
Tampoco se puede usar Chrome.
Pero la culpa es nuestra, que vamos como locos ...
Putos inútiles, putos ladrones.
Se nota que enchufan a familiares y amigotes, especialmente en el ámbito municipal.
¡Vergüenza!
Chrome ya lo había quitado hace tiempo pero la verdad es que actualmente NO hay alternativa. security.stackexchange.com/questions/106257/alternatives-to-htmls-depr
Por alguna razón que desconozco los navegadores se están poniendo en contra de los estándares de PKCS mientras aplauden cosas como WebAuthn que están básicamente atadas a los navegadores (a ver quien es el guapo que exporta una clave privada de ahí...).
La primera versión del mensaje acababa con ", gilipollas", pero al final se cortaron...
En serio, qué mensaje más prepotente y subnormal, además viniendo de unos completos inútiles
Lexnet lo mejor que hizo es hacer una app guarra en java, que va de pena pero mucho mejor que su web
Sí lo es: Instalas una versión portable de FF y solo lo utilizas cuando tengas que hacer un tramite con el certificado
Y podríamos seguir. Mira la web del DOE (Diario Oficial de Extremadura), Extremaduratrabaja, la cual ni tiene certificado tampoco. Etc, etc. Me resulta asqueroso para mi que soy Ingeniero Informático, no quiero ni imaginarme lo que sufrirían mis padres. Normal que a día de hoy la población siga prefiriendo los trámites presenciales.
Tengo que escribir un artículo en meneame detallando mas mis últimas peripecias, a ver si puedo hacerlo mañana.
Los problemas con los certificados de la administración pública se remontan al amanecer de los tiempos, y no parece que estén dispuestos a solucionarlos.
Rajoy.
FNMT es una agencia certificadora, o sea, es una empresa que certifica que tu eres tu a traves de un certificado digital que ellos emiten a tu nombre.
- para empezar tu navegador debe generar una pareja de clave publica/privada y comunicar la publica a la FNMT.
- despues debes demostrar tu identidad ante la FNMT, para esto puedes llegarte a una oficina habilitada por la FNMT para validar tu identidad (las oficinas de hacienda y seguridad social, principalmente), O BIEN, usar tu DNI electronico que YA DEMUESTRA que tu eres tu, ya que esta emitido por la policia nacional.
- para terminar, te descargas el certificado digital emitido por la FNMT en tu PC.
a efectos practicos, tienes dos certificados digitales (el de la FNMT, y el del DNIe), pero es que la mayoria de webs estatales, solo trabajan bien con el de la FNMT.
El trámite funciona así: vas a la página de la FNMT, solicitas el certificado, vas a un sitio de la administración específico (hay múltiples en las ciudades, existe un mapa donde puedes ver los sitios) y ahí te identificas físicamente con tu carnet de identidad. Una vez te has identificado, vuelves a casa y puedes descargarte el certificado con el mismo navegador que usaste para iniciar el trámite.
La FNMT(fábrica nacional de moneda y timbre) proporciona los certificados oficiales de la administración y su página usa dos tipos de autenticación de navegador, para explorer usa un active X de microsoft, para el resto usaba la etiqueta html keygen, que ha quedado eliminada del estándar y ya no es soportada por ningú navegador moderno (salvo tal vez safari). Esa autenticación solo se usa como parte del trámite de identificación física del solicitante del certificado, una vez estás identificado y has descargado el certificado puedes usarlo en cualquier navegador (aunque la verdad es que las páginas de la administración dan muchos problemas con los certificados).
cc: #3 #4
La solución que he usado en los últimos trámites ha sido instalar firefox ESR para que hagan el trámite de obtener el certificado y una vez obtenido, descargado, guardado por triplicado en varios sitios, incluido un espacio que tienen los usuarios en la NAS de la empresa (así no lo pierden, que es algo MUY habitual) se les vuelve a poner la última versión de firefox... y aún así hay muchos problemas, versiones de java, versiones de navegador, settings diferentes en java para los diferentes sitios de la administración (los que valen para un sitio puede que no te valgan para otro...)
Puto infierno, en serio, los trámites electrónicos con la adminsitración son lo peor.
Yo opté por crear una máquina virtual solo para los trámites legales y no instalar más que el soft y plugins recomendados y todo va de fábula pero en un PC real con más software instalado al final no funciona nada.
Claro, se lo explico a los no informáticos y cuando les hablo de máquinas virtuales me mandan ATPC.
ES más, la de veces que tenía que quitar esos 2 certificados de la FNMT.
¿Quién nos garantiza que el gobierno no usará ese certificado para interceptar el tráfico de sitios seguros de terceros? Tal vez mañana un juez decida qué va a autorizar que se suplante la identidad de Google por ejemplo para meter software falso en todos los teléfonos Android (por ejemplo una actualización falsa del teclado) y así espiar a "los terroristas". Y con la clave privada de la fnmt eso será perfectamente posible.
El problema aquí radica en que FNMT-RCM seguramente necesite una evolución de su programa para trabajar con las nuevas tecnologías de navegadores, en vez de adaptar sus certificados a los navegadores compatibles. Pero eso significa dinero. Lo que pasa es que ellos se escudan en que la gente entra normalmente con IE o Firefox, lo cual, por otro lado, es lógico ya que son los navegadores soportados.
Chrome no puede usarse ya que hay un problema técnico: han desactivado la posibilidad de generar claves privadas para certificados. Ahora lo puedes hacer manualmente, pero ya han anunciado que quitarán dicha opción en el futuro.
Hace unos meses también me las vi para firmar en Debian una solicitud de registro de marca en la Oficina Española de Patentes y Marcas. De hecho no se fue con Firefox o Chrome, pero con uno no pude firmar.
En Firefox <69 permitia generar la clave privada para que la FNMT se garantizase que solo se pudiese descargar el certificado digital en el ordenador que comenzo el proceso. digamos que el navegador generaba un 'certificado digital' cuyo unico objetivo era identificar a ese navegador para descargarse TU certificado digital.
Realmente es un problema de la FNMT, porque podria cambiar el metodo de descarga con una pareja de claves o que las oficinas de identificacion te proporcionasen una 'contraclave' con la cual poderte descargar el certificado, de tal forma que tu tendrias la clave del paso 1 y la contraclave del paso 2 tras identificarte en la oficina, y con ambas claves ya 'deberia ser suficiente' para identificar feacientemente a una persona.
Mozila incluyo esa opcion porque fue una propuesta de W3C, en el cual es navegador pudiese generar un 'certificado digital ligero' con el cual identificarse frente a servicios web. Eso fue sobrepasado con el uso de identificadores de sesion via cookie, que es lo que se ha vuelto estandar, asi que el TAG HTML para generar ese 'microcertificado digital' llevaba 'deprecated' (obsoleto) un monton de tiempo, y al final Mozilla ha decidido eliminarlo.
Recuerdo la barbaridad de poner la evaluación del 1 al 31 del mes y decir que el 1 es domingo y la entrada no es correcta.
Un horror.
La aplicación del gobierno es una mierda, no intentéis poner el ventilador de mierda
En la AEPD, hace unos meses, no pude poner una reclamación porque la validación de campos en Javascript estaba mal y llevaba así desde hacía un mes. Le pregunté al técnico con que hablé si era él el responsable, para poner o no una queja, porque el hombre no podía estar más avergonzado y no quería ponerla si iba a ser contra él.
Me explicó que no era él el responsable, pero que los que desarrollan la página son todos becarios. No puse la queja porque entendí que no es un fallo puntual sino algo estructural del sistema y eso hace ya tiempo que lo doy por perdido.
#22 No me extrañaría que también haya bastante de eso.
Quieren controlar ese certificado raíz. Ni idea de por qué no lo incluye la fundación Mozilla. En los otros navegadores imagino que tendrían que pagar.
Ves como se conecta el técnico de la administración con el TeamViewer, e instala los certificados a mano en Firefox para que funcione, yo flipando y preguntándole que que mierda era eso.
La única forma de que funcione.
Portátil del abogado en su propia vlan......
Con Firefox tenías el archivo prefs, ahora han sacado admx al final, aún no he jugado con ellas.
Tener el Firefox Java y demás, actualizado por seguridad y pelearte con la administración porque requiere versiones antiguas.
O el Java 32, que como pongas el 64 no funciona
La empresa en la que trabajo usa la tarjeta de fichache como sistema de identificación mediante PKI y funciona perfectamente... si una empresa puede implementarlo sin problemas la administración jamás debería haber tenido problemas en hacerlo, pero aquí estamos en 2019 y el dni electrónico tiene una implantación nula pese a que todo el mundo tiene su DNI electrónico con sus correspondientes claves privada y públicas.
tucertificadodigital.es/adaptacion-a-navegadores-y-otras-incidencias-c
Vienen a decir que no es culpa suya que el mundo avance y que no hay ni dinero ni intención de contratar un equipo que se encargue. Y que sus clientes usan IE en Windows XP según unas estadísticas nada claras en JPG. Me pregunto qué proporción de esos usuarios son ordenadores de la propia administración, que es bien sospechosa de la misma actitud retrógrada a la que huele aquí. Y cuánta gente desempolva el ordenador de 2005 para acceder al servicio para no tener que instalar versiones antiguas e inseguras en su ordenador.
Y aún son capaces de argumentar que también es por seguridad. ¿Cómo de seguro les parece incitar al uso de sus certificados en un sistema operativo sin soporte?
- Promulgar legislación que obligue a las empresas encargadas de los navegadores a ofrecer soluciones duraderas, estandarizables, y compatibles con certificados digitales PKCS y toda la mandanga.
- Pagar a esas empresas para que mantengan determinadas características útiles.
- Desarrollar algún(os) complemento(s) que se encargue(n) de gestionar toda la maquinaria criptográfica necesaria para operar con esos sitios (o pagar a alguien para que lo haga).
- O en general, ya que estamos, mover un poco el culo para que la industria del software en Europa tenga algún papel mínimamente relevante, que estamos no a rebufo, sino atados a un árbol mientras USA, China, Korea y otros corren con su F1.
Yo ahora voy tirando con el Autofirma, que dentro de lo que es funciona. Deberían pasarse a html5 y dejarse de chapuzas.
- hub.docker.com/_/ubuntu
- hub.docker.com/r/pihole/pihole
Mi impresión es que no tienen soporte de actualizaciones para ese desarrollo de su aplicación, no quieren meter pasta o les da vergüenza sacar concurso público para que se lo hagan y el personal interno no se ve aún capacitado.
¿Chrome y Firefox ya no son compatibles porque no permiten que el driver del lector de tarjetas inserte dinamicamente la clave del certificado del dnie en el navegador? ¿O es otro problema?
En otros países donde no hacen chapuzas electronicas como españa, ¿cómo gestionan los certificados digitales? ¿Qué otros métodos de identificacion y firma recomiendar usar Mozilla y Google?
¿Por qué Firefox <69 hay que generarla, y por qué Mozilla eliminó esa opción?
Esa la clave privada... ¿se generaba cada vez que tecleaba la contraseña del dnie?
Si, yo tampoco lo sabia.
Existen y se usan en sistemas en producción con la seguridad por bandera, todo en cliente.
Las razones supongo que pasan por la corrupción.
¿Hay que ir una vez por motivos de seguridad? pues vale, pero acostumbran a hacerte perder el tiempo teniendo que ir más veces de lo necesario. Podían hacer que fuera más sencillo pero les da lo mismo.
La FNMT se está tomando el asunto con un desprecio absoluto hacia el tiempo de los ciudadanos.
Supongo que el director general de la FNMT, continua siendo Jaime Sánchez Revenga. Sea quien sea habría que decirle que ya vale de hacer perder el tiempo a tantísima gente.
En realidad estás haciendo un elogio de los funcionarios. Cuando el desarrollo era asumido por los funcionarios todo funcionaba mejor a pesar de que la tecnología antes no permitía cosas que ahora sí podrían hacerse.
Edito: hay otro problema, a diferencia de keygen que genera y guarda un certificado, el web storage se borra al limpiar las cookies, por lo que no es tan robusto como el sistema que usaban... pero al menos funciona en los navegadores modernos.