Hace 7 años | Por orangutan a mancomun.gal
Publicado hace 7 años por orangutan a mancomun.gal

Después de muchos años, finalmente se vislúmbra la luz al final del túnel. Firefox acaba de anunciar que pronto incluirá la Fábrica Nacional de Moneda (Fábrica Nacional de Moneda y Timbre de España) en su base de organismos de certificación reconocidos. Esto significa que el navegador Firefox reconocerá automáticamente que los sitios web de la sede electrónica de los sitios de la administración pública española son seguros y fiables sin necesidad de realizar complejos pasos previos de instalación manual de certificados.

Comentarios

orangutan

#3 Para dejar de usar java como applet se puede usar cl@ve o el programa autofirma.

garnok

#9 ¿te refieres a los certificados con clave privada?

gonas

#14 Difícil de creer, ¿verdad?

garnok

#15 ojala se pudieran firmar matrimonos con eso pillar el de Rajoy y casarme con el . Si da mucha grima pero imagínate que risas lol

D

#23 Mejor pillar el de Rajoy y el de Pablo Iglesias... y casarlos a los dos. Eso sí que serían unas risas

garnok

#62 pobre coletas, igual cuando se entere echa a arder lol

P

#74 62 y 23. Lol. Me habéis resuelto el día.

D

#9 Yo le hubiese dicho "Me acaba de confirmar que no importa hacer las cosas mal, lo que importa es ser secretario de estado. Inculto, pero secretario. Felicidades "

gonas

#16 El tema es sacar proyectos y hacer gasto, aunque luego haya que tirarlo porque no sirva. Les estaban demandado un sistema para poder firmar desde cualquier dispositivo (PC, tablet, movil) pero la tecnología del momento no lo permite. Así que, en vez de explicar porque no es posible hacerlo, haces cualquier cosa y te llevas la pasta. Cuando se den cuenta de la picia ya la subsanaran gastando más dinero.

orangutan

#19 Te respondí en #27 , pero se me pasó hacer referencia a tu comentario

gonas

#27 #32 No estamos hablando de lo mismo, Cl@ve es un sistema de identificación basado en la identificación en dos pasos. Normalmente cuando pides tu Cl@ve te mandan un mensaje al móvil. No es tan seguro como la identificación por DNI-e, pero es mas sencillo para la mayoría de la gente.

La custodia de certificados es otra cosa. Un certificado no solo sirve para identificarse, también sirve para firmar documentos. Para que tenga sentido la utilización de clave publica y privada, la clave privada la debe guardar el propietario de esta, en un dispositivo propio. Si la guardan en un servidor ya no sirve para identificarse. Y tampoco valdría para dar legitimidad a la firma, ya que la persona interesada nunca ha tenido el control de la clave privada. Seria mas sencillo y barato marcar en un campo de la base de datos que el usuario ha validado el documento, porque el nivel de seguridad es el mismo.

orangutan

#36 En mi anterior comentario puse:
Cl@ve complementa los actuales sistemas de acceso mediante DNI-e y certificado electrónico, y ofrece la posibilidad de realizar firma en la nube con certificados personales custodiados en servidores remotos.
Además:
Cl@ve permanente ( Cl@ve Personal ): sistema de contraseña de validez duradera en el tiempo, pero no ilimitada, orientado a usuarios habituales. Se corresponde con el sistema de acceso mediante usuario y contraseña, reforzado con claves de un solo uso por SMS, a los servicios de Seguridad Social. Este sistema será además el que permitirá el acceso al ciudadano a la firma en la nube .

http://clave.gob.es/clave_Home/dnin.html

gonas

#37 Creo que ha sido el inconsciente, que no me ha dejado leer lo de la firma en la nube. wall

D

#38 Entonces ¿no guardo el .pkcs en onedrive?

AverageFury

#19 gastando mas dinero en alguna carnica de algun amigo.

orangutan

#9 Realmente con el sistema cl@ve no tienes ningún certificado sólo "claves" temporales o permanentes y legalmente es equivalente a usar certificado con cifrado de clave pública. Así que ya existe algo de ese estilo

C

#9 Hace algún tiempo, cuando me enteré del proyecto Clave, también me chirriaron las neuronas. Eso de que la Administración guardará nuestras claves privadas, y sólo firmará por nosotros cuando se lo digamos...

No sólo es cuestión de poder confiar o no en la Administración, es que si alguien consigue tener acceso al almacén de claves central puede suplantar a cualquiera.

CTprovincia

#3 Yo no tengo nada en contra da Java, pero lo que hacen en hacienda con los applets de Java, se podría hacer con PHP o ASP facilmente y se quitarían de problemas e historias. Creo que se atascaron ahí con el Java y ya no saben como quitarlo, no tiene explicación.

D

#17 Si la tiene. Las cárnicas siempre han usado java en el desarrollo de software para instituciones públicas. No tienen expertos en otros temas. Sus jefes de proyecto tienen mucha experiencia en java pero solo java.

AverageFury

#18 esas lacras para IT llamadas cárnicas.

#51 se os olvida comentar las versiones obsoletas de jre que requieren para funcionar (que son un problema de seguridad en sí).

nergeia

#21 Buen apunte, aunque me parece que se pueden firmar certificados con javascript, no? (https://kjur.github.io/jsrsasign/)

orangutan

#25 Tengo entendido que no está suficientemente madura esa tecnología y aunque parece el futuro mientras no se implementa se pueden emplear otras soluciones alternativas como el cliente pesado autofirma:
http://firmaelectronica.gob.es/Home/Descargas.html
Aplicación de firma electrónica desarrollada por el Ministerio de Hacienda y Administraciones Públicas. Al poder ser ejecutada desde el navegador, permite la firma en páginas de Administración Electrónica cuando se requiere la firma en un procedimiento administrativo.

D

#25 Sí, se puede firmar algo en JavaScript, pero hasta donde yo sé la API de los navegadores para criptografía sigue estando en fase experimental.

Por ejemplo la librería que pones tiene la limitación estándar de este tipo de librerias JS, que los navegadores no exponen a las webs el almacen de claves, con razón, con lo cual en todas verás que sí, que puedes firmar, pero le tienes que pasar la clave privada/certificado como parámetro a mano, no es muy práctica. Y eso el caso trivial de un certificado tipo FNMT que tienes directamente instalado sin entrar en cosas como firmarlo con el DNIe.

c

#25 En principio sería más peligroso. Imagínate páginas firmando cosas sin que tu lo sepas....

orangutan

#70 Tendrían que pedir permiso de la misma forma que ya se hace ahora.

c

#84 ahora lo hace una aplicación externa al navegador...

D

#3 Sin problema, pero eso van a ser 9 millones de euros por web más. A precio de mercado.

Ryouga_Ibiki

#3 Y que no te obliguen a usar ie7 no el 8 o el 9 que tampoco son compatibles al igual que el resto de navegadores.

orangutan
D

#1 Osea, que en vez de mandar el anuncio en inglés, lo mandas en gallego.
Good Job.

cuatroD2

#5 Si sabes español el gallego se entiende perfectamente, el escrito al menos.

paragomba

#48 yo debo ser Subnormal porque no entiendo ni el catalán ni el gallego por mucho que la gente diga "esta en tal idioma pero se entiende perfectamente"

D

#5 handjob, blowjob, rimjob...

alexwing

En informática hay dos cosas muy dificiles, programar en ensamblador e instalarte un certificado digital de estos. lol

orangutan

#13 Instalarlo es fácil una vez que lo tienes en el pc, lo difícil es que no te de errores al hacer la solicitud.

L

#30 Tristemente es así. Yo cuando tengo que hacer alguna gestión con la Administración Pública vía internet uso Opera, es el navegador con el que menos problemas tengo a la hora de acceder y usar esas webs.

Cehona

#30 Los errores en la solicitudes suelen ser, porque en el transcurso de la solicitud, se han actualizado Windows (Update) , Java o el mismo navegador. Por supuesto la solicitud siempre desde el mismo navegador.

orangutan

#95 Por mi trabajo he visto a mucha gente con problemas al renovar el certificado y nunca fue por eso. Casi siempre fue por no tener bien configurado el navegador, el navegador no confía en la fnmt, tener bloqueada la ejecución de activeX...

earthboy

#13 El lector de DNIe también andaba por ahí.

M

#13 Yo he programado una demo 3D en ensamblador y hay veces que no he conseguido hacer funcionar un certificado digital de estos... "just saying..."

D

#47 Idem: Yo he levantado un cluster de servidores de correo con Postfix para 15000 usuarios y solo consigo hacer una operación bien de cada tres con el DNIe.

La mayor parte de las veces me tengo que ir al puto ministerio a realizar las gestiones.

Esto es super-divertido cuando vives en Nueva York seis meses al año y te piden en la embajada un certificado urgente.

Vaya puta mierda de administración electrónica.

p

#27 ¿firma en la nube con certificado remoto?, ¿y quien te garantiza que estas firmando lo que estas firmando?
basicamente es el mismo problema con las firmas mediante applet de java. Te tienes que fiar de la buena fé de la administración, porque realmente no ves el documento que ese applet está procesado con tu certificado. Si ahora ya ni siquiera tienes el certificado, tela.
Con los applets basicamente son como si vas a la ventanilla del ministerio en cuestión, entregas los documentos, y luego te enseñan un recuadro donde firmar, pero sin ver el documento sobre el que lo estas haciendo.
Con esto de la firma en la nube, ya ni siquiera firmas, le dices un pin al funcionario y él te dice que ya está todo firmado, tu tranquilo.

Con lo facil que seria implementar un sistema con firma local en tu PC, sobre un documento que pudieras comprobar la firma y lo que has firmado, y después upload en la pagina correspondiente, sin applets, sin nube, y sin nada.

Nathaniel.Maris

#59 Entiendo lo que dices y entiendo que para alguna gente sería interesante, pero explícale eso a mi madre/abuela que no sabe siquiera lo que son las carpetas del pc que busque el documento y lo firme... Eso si, el feisbu y el instagram se lo saben de memoria.

orangutan

#59 Si no confías en la administración española, apaga y vámonos. El certificado digital lo genera una entidad de servicios de certificación y también te tienes que fiar de ella, si no pasa lo que pasa:
Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

Hace 8 años | Por --127714-- a boingboing.net


Con respecto al sistema de firma local ya existe y se llama autofirm@. Puede ejecutarse desde el navegador y permite la firma en páginas de Administración Electrónica: http://firmaelectronica.gob.es/Home/Empresas/Aplicaciones-Firma.html

p

#77 Es que tengo la manía de querer saber lo que firmo. Y no veo porque hacerlo digitalmente tiene que ser distinto a hacerlo de forma tradicional.

miguelpedregosa

El DNI electrónico es el mayor atentado a la usabilidad en décadas

averageUser

8 años han pasado desde la primera petición de Mozilla a la FNMT, se habrán quedado agusto.

gonas

¿Cuánto a pagado la FNMT para que lo incluyan? Porque estás cosas se hacen por pasta.

D

#7 ese es el problema.

Mucho Firefox libre y tal, pero mira.

Por ley deberían incluir los certificados de las entidades públicas.

D

#20 #7 no funciona así, leeros el bug https://bugzilla.mozilla.org/show_bug.cgi?id=435736#c166 y os enterais.

gonas

#22 Eso solo habla de las inclusión. Las motivaciones son muy objetivas. Han tardado más de 10 años en incluirla. Lo que pasa que el negocio de la creación de certificados ha decaído mucho últimamente.

ann_pe

#57 Porque las entidades certificadoras tienen que cumplir unos requisitos para no comprometer la seguridad de todos los usuarios de un navegador, un certificado raíz puede firmar cualquier dominio por lo que si yo soy presidenta de la República de Tetrodia y le cuelo a la gente de Mozilla o de Opera un certificado comprometido puedo espiar a todos los ciudadanos del país y censurar los contendidos que me de la gana aunque se use HTTPS *.

En el link de #22 se puede ver todo el proceso que se ha seguido (se ha arreglado la verificación OCSP, etc).


* https://en.wikipedia.org/wiki/Certificate_authority#CA_compromise

dudo

#7 Cuanta desidia hay en las administraciones públicas?
porque con habérselo currado como todos los agentes certificadores que vienen de serie en los SO y navegadores décadas atrás….

Cehona

#64 Sigo sin entender tus problemas, llevo con certificados en Firefox más de 8 años de la FNMT sin problemas. Se lo instalo a todo el mundo. La página de la FNMT es muy completa en el tema de ayuda. Si el certificado lo solicitantes en IE lo tienes como dices en su repositorio, pero se puede exportar a cualquier carpeta y luego importarlo en FF. Entro sin problemas en cualquier organismo público para realizar cualquier gestión. Siempre con java actualizado (ese es otro tema) En Firefox comprueba en los certificados admitidos CA de ellos, al editarlos, que están activas todas las opciones.
No te preocupes por el negativo.

H

#72 Tú hablas, creo, del certificado personal. La noticia habla del certificado raíz de la agencia de certificación de la FNMT. El de SSL, para evitar que te salga el mensaje de "sitio no seguro" al entrar en las páginas oficiales de ministerios.

Cehona

#78 El certificado SSL raiz de la FNMT (lo pone en las preguntas frecuentes) se edita
-Firefox
-Herramientas
-Opciones
-Avanzado
-Certificados
-Ver certificados
-Autoridades
Buscar los certificados de la FNMT
-FNMT Clase 2 CA
-AC RAIZ FNMT RCM
-Editar configuracion de confianza (de cada uno) Y activar todo.

Ya no te saldra "sitio no seguro"

De paso puedes comprobar los servidores de confianza.

Boleteria

Pues muy bien, han mareado a Mozilla para una basura que acabará por no servir para nada porque el sistema seguirá siendo una mierda con tecnología atrasada y web imposible de navegar donde es más fácil entrar en la sección que quieres buscandolo por Google que entre los menús de la propía web.

Puede sonar duro, pero España necesita un cambio generacional de jefes de proyecto. La mitad de ellos se han quedado bloqueados en tecnologías, metodologías y diseños de los 90.
Responsive y Bootstrap, REST, Oauth 2.0, entidades POCO, ORMs modernos, JIRA, Git, Kanban... Todas estas cosas les suenan a chino y dan ganas de llorar a veces.

Si alguno de estos jefes me esta leyendo y está trabajando en alguna web para el gobierno, le doy esto, a ver si les sirve un poco de inspiración y pueden ir tomando nota:
https://www.gov.uk/

KirO

Veo muchas menciones al DNI electrónico por ahí... El certificado raíz que ha sido aceptado es el que usa la FNMT para expedir certificados directamente. Los del DNI los expide la Policía Nacional y tienen otro certificado raíz.

orangutan

#56 Los que expide la policía nacional creo que también dependen de la fnmt

KirO

#80 el certificado raíz de la policía lo expidió la FNMT, pero es un certificado raíz, es decir, no cuelga del certificado raíz de la FNMT que ha aprobado Mozilla.

c

#64 ¿Para Firefox te obliga a tenerlo también en el almacén de Windows? Hasta donde yo sé son independientes...

xyria

#65 Sí, tanto el manual de la FNMT como la experiencia dicen que es preciso. Como dije antes, si no lo colocas el certificado de usuario en el repositorio de Inernet Explorer no funciona. Te hablo desde mi experiencia: No hay problema con el acceso a la Agencia Tributaria, pero si intentas descargar una notificación de la DEH (Dirección Electrónica Habilitada) con Firefox, tiene que estar instalado en el explorador de Microsoft.

orangutan

#66 Será en esa página en concreto, por lo general no he tenido problemas con el certificado instalado en firefox.

n

No sé. Como inmigrante llevo usando el certificado raíz de FNMT solo con Mozzile desde 2010.

J

Voy a llorar

manuelpepito

Ya era hora, el otro día le configuré el certificado digital a mi mujer y con Edge fui incapaz y con Firefox te avisa de página insegura.

Cehona

#2 En la misma FNMT tienes un configurador para Firefox, te instala los certificados y librerias necesarias.
https://www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-software/consideraciones-previas

manuelpepito

#6 Pero te avisa de conexión insegura

Cehona

#11 Si ya tienes el certificado raíz instalado, edita las opciones.:

https%3A%2F%2Fwww.sede.fnmt.gob.es%2Fpreguntas-frecuentes%3Fp_p_id%3D101_INSTANCE_5a9kmeLaGgXw%26p_p_lifecycle%3D0%26p_p_state%3Dnormal%26p_p_mode%3Dview%26p_p_col_id%3Dcolumn-2%26p_p_col_pos%3D1%26p_p_col_count%3D2

Hay un apartado preguntas mas frecuentes.

xyria

#6 Perdón: iba a contestar y se me fue el dedo al botón de negativos. Busco tu nick y te compenso. De verad, lo lamento.

xyria

#6 El configurador no lo arregla todo. Lo que más me fastidia es el hecho de que sí o sí, el certificado debe estar en el repositorio de certificados de Internet Explorer.

xyria

#6 Negativo compensado.

D

#2

Yo sólo busco mujeres que incluyan el certificado FNMT

ArdiIIa

#8 Pues Virgen María, solamente hubo una y se casó con San José. A seguir buscando.

PussyLover

#10 ¿Pero siguió siendo virgen después de tener a Jesús? Ahhhh tinfoil

arivero

#41 Despues ya lo que quiera... lo importante era que fuera recipiente inmaculado.

D

#44 Lo importante es que se lo montó con una paloma

orangutan

#61 ¿Eso se llama zoofilia o colombofilia?
https://es.m.wikipedia.org/wiki/Colombofilia

Sofrito

Segura una web creada por el gobierno de España? Acaso no saben que la administración pública española contrata monos amaestrados y les pagan con cacahuetes?

D

lo extraño es por qué hasta ahora no lo habían incluido...

D

NOTICIÓN!!!!1

AverageFury

--nada por aqui--

H3noruRojo

A ver para cuando añaden CAcert.

Cehona

#68 Están en la misma situación que estaba la FNMT, falta auditar.:
http://wiki.cacert.org/InclusionStatus.

AverageFury

Alguno de vosotros ha leído la entidad que firma los certificados de la administración? No hablo de la FNMT, sino de webs como el 060:

"Certificado reconocido de sede electrónica, nivel medio. Consulte las condiciones de uso en https://policy.camerfirma.com"

@ 2016 Camerfirma S.A. Todos los derechos reservados.


Huele... a billetes y sobres.

orangutan

#86 Camerfirma es una entidad certificadora que da menos problemas que la fnmt, ya que si es reconocida por los navegadores como entidad certificadora válida.

P

Esto es un claro fallo del Morcilla Firefó. Cuando decían que las páginas de la administración española no son seguras es cuando tenían razón.
Y hablo con conocimento de Causa. Guapísima por cierto, la chica.

Cehona

#91 ¿Piensas que la administración no es la primera interesada en que sea segura? ¿Y desde IE si?

P

#96 Pienso (y constato cada día desde hace 25 años) que a la administración estos asuntos moelnos se la soplan.