Por Fernando Acero
Como la mayoría de los usuarios de Firefox, me he actualizado a la versión 3 aprovechando el "Download Day", colaborando así al recuento para el Guiness. Como es lógico, tras descargarlo, lo primero que he hecho es instalarlo y he tenido un problema.
Una vez configurado, e instalados todos los complementos, he intentado acceder a las Notificaciones Seguras de nuestra querida Administración y no ha sido posible. He cambiado configuraciones y versiones de Java y he realizado pruebas durante varios días, sin ningún éxito. Puesto en contacto contacto con el servicio técnico, me han dicho que están en ello y que esperan tener listo el sistema para que funcione con Firefox3. Mientras, me recomiendan que use una versión antigua, algo que tengo que probar cuando tenga tiempo.
Sin embargo, durante las pruebas apareció otro problema relacionado con el contenedor de certificados de Firefox: no puedo importar o exportar certificados...
Siempre obtengo los mensajes:
a) Fallo en la recuperación del archivo PKCS #12 por motivos desconocidos.
b) Se produjo un fallo por motivos desconocidos al guardar la copia de seguridad
del archivo PKCS #12.
En este punto, comencé a buscar información por la Red y encontré esto:
http://www.pki.gov.ar/index.php?option=com_content&task=view...
Pero borrar el certificado raíz de la FNMT no ha funcionado en absoluto, tampoco una excepción relacionada con dicho certificado que había en la pestaña Preferencias | Cifrado | Ver certificados | Servidores.
Con otra prueba comprobé algo curioso, puedo cambiar contraseñas sin problemas o instalar certificados generados desde la web, como comprobé con un certificado de https://www.startssl.com/. Tampoco tengo problemas para instalar certificados raíz o al borrarlos, o al generar excepciones para páginas.
Es decir, que el problema lo tengo cuando quiero importar o exportar una clave pública desde un archivo, o desde el contenedor a un archivo. Una vez instalado el certificado de https://www.startssl.com/, sigo teniendo problemas para exportar una copia. La única solución es borrar a lo bruto el directorio .mozilla en mi usuario y dejar que Firefox lo cree de nuevo, pero eso supone tener que configurar e instalar todo de nuevo, incluidos los certificados.
Visto lo visto, decidí iniciar un bug en Bugzilla, pero lo que he obtenido de Mr. SSL (Nelson), no ha podido preocuparme más:
Sorry, as a matter of principle, I don't work on bugs about failures that PSM reports as "for an unknown reason". NSS reports specific error codes that say what the reason is. For some reason, PSM decides to discard that information and report "for an unknown reason". That PSM choice has the effect that when users experience failures, instead of taking simple corrective actions idicated by specific error codes, they file bugs. The NSS and PSM developers get asked to diagnose a problem that was already diagnosed by NSS, but that diagnosis was discarded by PSM.
Years ago, when PSM was being first developed, the developer responsible for doing the error code UI was not up to the job, and the display of error codes became the last thing to be completed. The manager of the project, desiring to get it done more quickly, decided to just take all the remaining error codes and report them "for an unknown cause". That was 8 years ago, and from that to do this, no person responsible for the PSM UI has thought it important to fix that utterly useless UI.
My position is this: There is no reason that the NSS team should do extra work to diagnose problems whose diagnosis has already been given by NSS, but was discarded by Firefox. UI is Firefox's responsibility, not NSS's. If it is not important to the Mozilla/Firefox/UI community to report those error codes, then it certainly is not worthy of the NSS team's time either.
Es evidente que este es un problema de la comunidad de desarrollo de Mozilla/Fifefox, pero también es cierto que es un serio hándicap para este navegador, en un momento en el que el uso de certificados digitales se está generalizando de la mano de la e-administración.
Sin duda, la falta de códigos de diagnóstico es un serio problema, tanto para los usuarios, como para los que intenten implementar procedimientos administrativos que sean compatibles con este navegador y luego quieran dar soporte técnico a los mismos.
Por el momento he solicitado una persona de contacto en el proyecto Mozilla / Firefox para ver si se logra que esos mensajes de error se vean en la pantalla. Comportamiento irritante de una aplicación libre, cuando lo que más me gustaba de los programas libres era el control, el diagnóstico de los problemas y las posibilidades de auditoría que tienen.
Dicho lo dicho, ¿a alguien se le ocurre una forma para solucionar el problema?
Nota del editor: Barrapunto trata también otro tema relacionado.
Firefox 3.0.2 sigue fallando...
anónimo11 Octubre 2008 - 11:52am
He intentado hacer la declaracion trimestral de IVA, y no ha habido manera de poder firmarla.
Al final he tenido que rescatar un zorro version 2 para poder cumplir con Don Pero Solbes
¿Hay alguna noticia nueva al respecto?
Jonsito
Se puede eliminar eso?
anónimo5 Septiembre 2008 - 8:57pm
Bueno amigos, a mi me pasa lo mismo... y es que el mozilla 3 salio peor que el explorer 7.
me parece una falta de respeto que lancen ese producto tan malo, y lo digo por que me produce fallos en Mac, en Windows Y en Linux...
Admito que mozilla es bueno en su version 2.6 pero la tres se pasó de la raya...
Y es que estos benditos certificados no lo dejan navegar a uno en paz...
Alguien me puede decir si se puede deshabilitar esa opcion de mozilla para que me deje navegar en paz? no quiero andar viendo si un certificado es bueno o malo, lo unico que quiero es navegar...
Alguien me ayuda???????
La versión de FF 3.0.1, ya no falla con la SSL (W. Vista Home)
anónimo18 Agosto 2008 - 1:58am
El famoso error "El certificado no es de confianza, al no haberse emitido por una entidad de certifcación de confianza", ya no se produce con la versión 3.0.1.
Al machacar el FF2 con el F3.0.1, sobre Windows Vista Home (versión 6.0 (6001: SP-1), a fecha 18-8-2008).
Después de reiniciar, no hay fallo.
FNMT + Google - Plugins = 0
anónimo11 Agosto 2008 - 7:34pm
Hola
me estoy encontrando con el mismo problema, FNMT y FF3. Tengo que renovar el certificado y no hay forma. Ni siguiendo instrucciones de FNMT -muy discicplientes- ni siguiendo este hilo -vía google- he conseguido hacerlo funcionar.
Desactivados todos los plugins, reinstalo certificado y el problema es el mismo: al intentar ver el contenido no reconoce el nombre común (CN) del certificado, por lo que ...
En el certificado FNMT el valor del campo "Emisor" es:
OU = FNMT Clase 2 CA
O = FNMT
C = ES
Es decir, el certificado de la FNMT no incluye el campo CN, habitual en el resto de certificados ya incorporados, y parece es lo que no le gusta -entre otras cosas- a FF3.
En Explorer, el mismo cetificado, no encuentra problemas para acceder a las páginas de la FNMT; otros problemas más farragosos, impiden finalizar la operación de renovación.
Espero aportar algo a este galimatías de seguridad, esto hace falta tenerlo funcionando.
agustin
fallas con firefox 3
anónimo3 Agosto 2008 - 11:19pm
bueno, yo no he tenido el problema que se menciona. pero si tengo un problema con las paginas que lanzan propagandas en flash, a veces el boton de cerrar no funciona, y si los cierro es como si aun estuvieran ahi, es decir..."cierran" pero si hay un link o atajo debajo, no se puede accesar... no aparece la manito, (o el dedito) que debiera salir.
esto pasa en paginas como terra (www.terra.com.pe) y hasta en el hi5 (que no me deja ponerle comentarios a mis fotos) esta el bendito problema.
buscando soluciones.
cheers!
pd. obligadamente tuve que regresar a IE7
Tienes toda la razón
anónimo21 Julio 2008 - 1:56am
Efectivamente, es como dices. En los días posteriores a la solución que me dieron en la FNMT, intenté acceder a otras páginas que requieren firma digital, como son la de CIXTEC, de la Consellería de Economía e Facenda de la Xunta de Galicia, y alguna más como la de la DGT para comprobar si era posible mirar los puntos disponibles con mi firma digital. El resultado es el mismo que tenía al principio con la FNMT. Por lo tanto, es verdad, es un problema de Firefox 3. En fin, está claro, me toca leer más... como tú aconsejas. ;-) Un saludo Batea.
Firefox 3: Solución certificados de usuario
anónimo4 Julio 2008 - 2:08am
Yo tenía guardado mi certificado de usuario de la FNMT en lugar seguro y lo usaba con Firefox 2. Cuando instalé el Firefox 3 no podia importarlo. Expuse el problema en un correo en CERES->Usuario->Contacto. Copio su respuesta:
Una vez hecho esto, pude importar desde Firefox 3 mi certificado de usuario guardado anteriormente con Firefox 2, sin problema.
Espero que este comentario sirva de ayuda a todos los que tienen el mismo problema. Y un consejo, a veces es mejor preguntar directamente al organismo expedidor del certificado que andar dando "tumbos" por Google...
Un saludo.
El problema no es el mismo
Fernando Acero4 Julio 2008 - 9:38pm
Hola:
El problema no se ha producido al intentar importar un certificado de usuario previamente guardado con la versión 2 en la versión 3. La solución que te ha dado la FNMT, es la misma que yo encontré usando Google en cinco minutos.
http://www.pki.gov.ar/index.php?option=com_content&task=view...
Pero como comento no tiene nada que ver, el problema es Torbutton que intenta aislar los certificados, algo que debería hacer solamente cuando está habilitado, pero que en la realidad, impide la importación y exportación cuando está instalado y activado (lo que no es lo mismo que habilitado, es decir con tor activo).
Por otra parte, mucho me temo que la fuente no es la FNMT, aunque en esta ocasión te hayan resuelto el problema. La fuente a la que hay que recurrir son los desarrolladores del programa (Firefox y Torbutton), puesto que aunque es un problema con el tratamiento de los certificados tanto en tu caso como en el mio, es independiente del certificado que se usa y lo mismo te pasa con uno de la FNMT que con otro de SSLGuay. Así de paso, los desarrolladores conscientes de los problemas que tienen sus programas, podrán solucionarlos, colaborando así a la mejora del SL. Te garantizo de que si el problema es de Firefox 3, la FNMT no va a hacer nada por solucionarlo, como mucho, como ha sido el caso, contarte un procedimiento para que puedas ir tirando.
Por otra parte, el problema último, son los mensajes de error de Firefox, que son tan claros como la receta de un médico de cabecera. Si esto se tratase como se debe, seguramente no habría dudas sobre el origen de los problemas. De hecho, durante la resolución del mío se han cruzado otros muchos similares, que al final eran bien distintos, pero lanzaban el mismo mensaje de error.
Actualmente estoy en contacto con el servicio técnico de las Notificaciones Seguras y con los desarrolladores de Firefox y Torbutton para solucionar el problema.
Finalmente decirte que si te hubieras leído todo lo que he escrito, incluidos los comentarios, habrías visto que el mio no es el mismo problema al que haces referencia ;-).
Un saludo, Fernando Acero
Lo prometido es deuda
Fernando Acero1 Julio 2008 - 10:05pm
Lo primero que he de decir, es que el procedimiento que se indica en inzitan.blogspot.com, relativo al uso del plugin IE Tab, no está disponible para Linux, solamente para los usuarios de Firefox bajo Windows.
Bueno, después de muchas pruebas he encontrado al culpable, que no es Firefox, aunque sí ha servido para encontrar un punto flaco en este navegador y que no es otro que el deficiente tratamiento de los errores.
Algo que he podido comprobar en mis carnes y dificulta enormemente diagnosticar las causas de los comportamientos anómalos. Por lo tanto, bienvenido sea este problema y usemos lo que sabemos para mejorar Firefox, puesto que los "errores por motivos desconocidos" no ayudan a mejorar la reputación de este excelente navegador y dificulta su uso y soporte en las aplicaciones de la e-administración.
Descubrir este error me ha llevado horas y un montón de pruebas hasta aislar la fuente del problema, algo que hubiera sido mucho más sencillo, sin duda, si los mensajes de error fueran más claros.
En mi caso, el culpable era un plugin, más concretamente, Torbutton en su versión 1.2.0.RC1, y por lo que aparece en su página, esto puede parecer más una "feature" que un error, según lo miremos:
http://torbutton.torproject.org/dev/design/#id2951083
Aunque tiene Torbutton, sí algunos problemas con los certificados.
https://bugzilla.mozilla.org/show_bug.cgi?id=435159
Por lo tanto, si alguien no puede importar o exportar certificados y tiene Torbutton instalado, no tiene que desinstalarlo, basta con desactivarlo y volver a arrancar Firefox. Una vez realizadas las acciones que se consideren necesarias con los certificados, lo puede volver a activar y rearrancar el navegador para poder trabajar con él.
La diferencia de comportamiento entre la versión 2 y la 3 de Firefox se debe a que una vez actualizado el plugin, pierde la compatibilidad con la versión anterior de Firefox, por lo que se desactiva y por lo tanto, no afecta a la gestión de los certificados.
Finalmente, quiero dar las gracias a los que han colaborado para descubrir al culpable.
Un saludo, Fernando Acero
Muchísimas gracias
anónimo21 Septiembre 2008 - 1:04pm
Muchísimas gracias por la solución que has publicado.
Anima mucho encontrar gente que dedica parte de su tiempo a ayudar a los demás.
Lo que es decepcionante es la respuesta que dieron los de Mozilla, que se han cubierto de "gloria" (por motivos desconocidos se usa en vez de MIERDA)
Un saludo cordial,
Manel
Instala ieTab
anónimo1 Julio 2008 - 7:27pm
Esto ya lo tengo comentado en mi blog inzitan.blogspot.com, ¿solución?, pues la única forma, es instalar ieTab y en las páginas donde uses el certificado, activas el motor del iE y listo, así no te dará problemas o al menos a mi no.
Supongo que es cuestión de tiempo que lo solucionen, si antes iva, tarde o temprano lo solucionarán.
Un saludo.
Arturo Qirantes lo explica mejor que yo...
Fernando Acero1 Julio 2008 - 1:56pm
Problemas criptográficos en Firefox 3
Boletín Enigma / Arturo Quirantes
Si algo trae un nueva versión de un programa, son fallos de programación. A despecho de todos los meses de betatesters, de pruebas intensivas y de mirar cada línea de código con atención, la complejidad del software actual hace casi inevitable la aparición de bichos. Esto es lo que ha sucedido con Firefox, que recientemente lanzó su versión 3. A los usuarios habituales de Firefox, no tengo que contaros nada, y a los de Internet Explorer os sugiero que penséis en cambiaros al zorro rojo. Hecha esta sugerencia, tenemos que centrarnos en algunos problemas de seguridad que se han conocido recientemente.
Uno de los primeros errores concierne el modo en que Firefox3 maneja los fallos de seguridad en las conexiones seguras. Ya hemos hablado más de una vez de lo que es un certificado digital, y de cómo a veces hay mucha diferencia entre teoría y práctica. Cuando intentamos una conexión cifrada SSL, hay muchas cosas que pueden fallar. Las más habituales son que el certificado digital que nos envían esté caducado o que haya sido firmado por una autoridad de certificación (AC) que el navegador no reconozca. O puede haber fallos aparentes en el nombre del dominio. Supongamos, por ejemplo, que usted quiera conectarse con webmail.micuenta.es. A lo mejor, resulta que el certificado está firmado para esa web, pero luego acabamos en webmail3.micuenta.es. ¿Nos han desviado a una web falsa, o es que micuenta.es tiene varias entradas legítimas? En muchos casos, fallos de este tipo no significa que los malos hayan interferido nuestras comunicaciones.
Para poder calibrar mejor estos problemas, Firefox3 (o FF3, como escribiré a partir de ahora) utiliza un sistema de verificación reigurosa llamado Extended Validation Certificate, EVC. El resultado se muestra como un icono con varios posibles colores: gris (no hay datos de identificación de la web), azul (web con identificación básica), verde (web con identificación EVC completa), amarillo (algún problema con el certificado, como que está caducado) y rojo (entre usted aquí si quieren que le roben hasta los pelillos de la nariz). Puede usted, si le interesa, visitar http://www.dria.org/wordpress/archives/2008/05/06/635/ para ampliar esta información.
El primer problema que trataremos aquí no es exactamente criptográfico, sino social. Verán ustedes. Hay veces en que es útil generar un certificado y firmarlo uno mismo. Se denomina "self-signed certificate" (certificado autofirmado), y tiene en principio la misma validez de cara al exterior que la que tendría un pasaporte que usted se hiciese en casa con lápiz y bolígrafo. También puede usted obtener uno en www.cacert.org, que viene a ser lo mismo. Hay aplicaciones legítimas para estos certificados hechos en casa (una tienda online pequeña, una web privada con acceso login, una intranet). El problema es que F3 da el aviso amarillo. Realmente lo que está diciendo es "no consigo comprobar si este certificado es válido o no", pero el sistema de aviso lo equipara a un certificado caducado.
Es decir, el programa pone en el mismo saco certificados que realmente son inválidos con certificados que no sabemos si son válidos. Sería como decir que mi tarjeta de crédito no es válida porque el supermercado no tiene conexión con el banco. FF3 permite hacer excepciones y admitir como válida una conexión amarilla, en el supuesto de que el usuario sabe lo que está haciendo. Pero el usuario medio, que no entiende de tecnicismos y lo único que quiere es que las cosas funcionen, se encuentra con un mensaje de "conexión no válida, cuidado con esto" y se enfrenta a la alternativa de seguir adelante y que sea lo que Dios quiera, o bien abandonar esa web. Como ven, se trata de un caso en el que la cripto no falla, pero sí la interpretación que se hace de sus resultados. Y es que una cosa es la encriptación, y otra la autenticación.
Un segundo fallo, o al menos algunos lo identifican como tal, es que FF3 no reconoce muchos emisores de certificados SSL. Dicho en otras palabras, no tiene las claves públicas de las AC. Los usuarios de FF2 pueden verlos en Herramientas\Opciones\Avanzado\Ver certificados\ Autoridades. A mí me salen unas cincuenta. Según un post en barrapunto (http://preguntas.barrapunto.com/preguntas/08/06/28/1933249.shtml), FF3 incorpora los de Thawte, Verisign y poco más. Esto, más que un fallo, es
un olvido. Por supuesto, hay lugares donde se pueden descargar (p. ej. http://www.cert.fnmt.es/content/pages_std/certificados/FNMTClase2CA.cer para los de la FNMT), pero ciertamente, vendría muy bien que FF3 incorporase más claves públicas.
Más preocupante es lo que nos cuenta Fernando Acero, cuyos conocimientos criptográficos hacen honor a su apellido. Fernando nos ha hecho partícipes a todos de su preocupación en un post en Kriptópolis (http://www.kriptopolis.org/problema-firefox-3-certificados-digitales). Vamos a ver si consigo explicarlo bien, porque Fernando es del tipo de personas que se compra un coche, lo destripa y luego le envía al fabricante una lista con sus quejas. En su caso, descubrió que no podía ni importar ni exportar certificados. Ya vimos en el boletín del mes pasado otro problema con la exportación de certificados. Pero entonces el problema era hacerlo con seguridad, en tanto que ahora el problema es hacerlo y punto. Al intentarlo, le aparecen estos mensajes:
a) Fallo en la recuperación del archivo PKCS #12 por motivos desconocidos. b) Se produjo un fallo por motivos desconocidos al guardar la copia de seguridad del archivo PKCS #12.
(PKCS #12 es un estándar de criptografía de clave pública que define un formato de archivo para guardar claves privadas, junto con sus claves públicas asociadas, todo protegido por una contraseña simétrica)
Fernando echó mano del web oficial sobre Firma Digital del gobierno argentino (bien por ellos), que ofrecía una solución para estos casos. Bueno, más que solución es un apaño, porque consiste en borrar el certificado de la AC que emitió el certificado de la clave, exportar nuestro certificado y luego reinstalar el certificado que habíamos borrado antes. Como la terminología es algo confusa, recordaré que "certificado de la AC" es la clave pública de dicha AC, y "nuestro certificado" es nuestra propia clave. En cualquier caso, es como decir "¿que el guardia de seguridad no nos deja entrar a nuestro propio edificio? pues despedimos al guardia, entramos y luego lo volvemos a contratar" Lo dicho, un apaño.
El problema es que a Fernando eso tampoco le funcionó, así que se fue con su problema directamente a bugzilla. La respuesta es sorprendente. Firefox utiliza un conjunto de librerías criptográficas que reciben el nombre colectivo de "Network Security Services" (NSS). Esas librerías, si lo he entendido correctamente, son administradas en SSL mediante algo llamado "Personal Security Manager" (PSM). Cuando hay un error, NSS lo detecta y da los códigos específicos de error, muy útiles para saber exactamente qué ha fallado. Seguro que usted los ha visto cuando un programa falla, o cuando aparece el famoso "pantallazo azul" de Microsoft: usted no entenderá toda esa retahíla de números y letras, pero los expertos sí.
Pero por algún motivo, NSS toma los mensajes de error de PSM y los transforma en "error por motivo desconocido", fastidiando así a los desarrolladores, que se ven impotentes ante un fallo cuyos detalles desconocen. Peor aún, los usuarios, al no saber en qué consiste el fallo, informan de los "bugs" a los desarrolladores, los cuales están tan hartos que ni siquiera les prestan atención. No es que no quieran arreglarlo, es que no saben cómo hacerlo.
¿Por qué PSM se empeña en borrar los detalles de los fallos y convertirlos en "error desconocido"? Por lo visto, el desarrollador responsable de su interfaz con el usuario "no estaba a la altura", y el detallito de mostrar los códigos de error se dejó para el final. El administrador del proyecto, presionado por las fechas de entrega, decidió coger todos los códigos de error que faltaban y los metió en el saco de "fallos desconocidos". Eso fue hace ocho años. Desde entonces, nadie pensó ponerse a arreglar ese detalle.
Es una verdadera lástima que un proyecto tan exitoso como Firefox no repare en estos pequeños detalles, sobre todo cuando presumen de ser más seguros que sus competidores de Redmond. Seguiremos el tema con atención.
Fuente: Boletin Enigma
Un saludo, Fernando Acero
La han liado con el acceso a la BBDD
Aescalera1 Julio 2008 - 11:22am
Me parece que va a ser eso, Netscape, Mozilla y Firefox comparten el mismo tipo de BBDD en fichero (Berkeley DB), algo deben de haber tocado que no está funcionando muy bien.Hace muuucho tiempo (cuando todavía no existía Mozilla (creo recordar que con la versión 4.7 de Netscape) estuve enredando con una utilidad que leía la BBDD de certificados y claves de Netscape y los permitía exportar (lo que ocurre es que ya no localizo esa utilidad).
Saludos
Otra curiosidad
Fernando Acero1 Julio 2008 - 9:36am
Hola:
Atando hilos, he decidido hacer otra prueba adicional, aprovechando que todavía está en Internet las versiones del descontinuado Netscape, me he descargado desde http://browser.netscape.com/releases,, la versión Netscape 9.0.0.6 English, para Linux y la he instalado en mi directorio de usuario.
Después de arrancarla, me ha generado un perfil por defecto, pero a diferencia de Firefox, que lo hace en .mozilla, Netscape lo hace en .netscape. Después he copiado los archivos con las bases de datos de certificados en ese perfil y curioso, desde Netscape he logrado importar y exportar sin problemas esos mismos certificados que antes no podía, por lo que el problema, no es algo que esté mal en esos archivos de certificados, ni siquiera está relacionado con los certificados y su contenido.
Sigo investigando, por cierto, mi amigo Arturo Quirantes se ha hecho eco de este problema en su boletín Enigma nº 62, pero todavía no está colgado en la RED http://www.cripto.es/enigma.htm.
Un saludo, Fernando Acero
Apuro
anónimo30 Junio 2008 - 4:32pm
Me parece que los muchachos de Mozilla, se apuraron al querer lanzar la nueva versión del navegador. Se colocaron una fecha de lanzamiento, y ya, a lanzarlo, por un lado por hacer un récord, por el otro para seguir la tendencia a sacar nuevos productos.
Lamentablemente, los nuevos usuarios se pueden arrepentir...
Los que lo conocemos a fondo y lo vemos como algo más que un navegador, es decir, una especie de "navaja suiza", no nos vamos a desencantar, pero...
A mí me funciona
anónimo30 Junio 2008 - 9:26am
He probado a exportar un certificado (uno de clase 2 de la FNMT-RCM) que importé con una versión anterior de Firefox, y me lo exporta perfectamente (lo he comprobado leyéndolo con openssl). También me funciona la importación.
He probado a exportar un certificado de un dispositivo de seguridad (el emulador de PKCS #11 Clauer), y falla, obviamente, por que se trata de un dispositivo hardware (bueno, en este caso de un emulador de un dispositivo hardware).
También he probado a exportar uno de los certificados del DNI electrónico, y entonces sí da el error de fallo por motivos desconocidos, en lugar de decir que se trata de un dispositivo hardware, que es más apropiado.
Yo utilizo Firefox en Linux.
El problema no es exactamente ese
Fernando Acero30 Junio 2008 - 10:54pm
Hola, el problema no se produce cuando exportas un certificado con una versión y lo importas con otra, al parecer, es cuando dos versiones distintas, en mi caso una de la rama 2.0x y la 3 y acceden al directorio con la configuración de usuario en /home/user/.mozilla con la configuración por defecto.
Un saludo, Fernando Acero
A ver si...
anónimo30 Junio 2008 - 4:45am
A ver si va a ser que los certificados estan caducados o son un poco "extraños"...
Hola...
Fernando Acero30 Junio 2008 - 10:55pm
Pues no, no están caducados ni tampoco tienen "cadenas" con caracteres extraños, algo que también es fuente de problemas según Mozilla. En mi caso, podía exportarlos o importarlos sin problemas, incluso con la versión 3 hasta que dejé de poder hacerlo.
Un saludo, Fernando Acero
Ese mismo error en Firefox 1.x y 2.x
anónimo29 Junio 2008 - 8:47pm
Señor Fernando Acero, si consigue una solución para ese problema, le agradecería que lo publicara ya que yo lo sufro desde hace varios años con firefox 1.x y 2.x. Los certificados de la FNMT no los puedo exportar, dándome el mismo error que usted indica. La única forma que tengo de llevarme los certificados de un sitio a otro es copiando el fichero cert8.db del perfil. Un saludo cordial.
A mi me pasa con todos los certificados.
Fernando Acero30 Junio 2008 - 9:07am
Hola:
En mi caso, una vez que se ha producido el problema, afecta a todos los certificados, no solamente a los de la FNMT.
Las soluciones tales como crear otro perfil o copiar la base de datos de certificados, no son la solución más adecuada.
El prinipal problema es que la Interface de Usuario de Mozilla/Firefox no tiene en cuenta los mensajes de error que le lanza el Personal Security Manager (PSM) y por lo tanto, no es sencillo descubir el origen del problema.
Estoy intentando que Mozilla tenga en cuenta esto ya que como he comentado, será complicado usar este navegador en servicios de acceso a la Administración, si cuando ocurre un problema no lo podemos solucionar por desconocer el origen del mismo. Ese es el principal origen de este problema.
No te preocupes, cuando sepa algo, lo comentaré, como he hecho otras veces, pero desgraciadamente ese mensaje "por motivos desconocidos" engloba varias decenas de motivos, por lo que la solución para mi problema es posible que no sirva para otros.
Un saludo, Fernando Acero
Y por el otro lado
CapHaddock29 Junio 2008 - 6:18pm
... ¿la FNMT dice algo al respecto?
Respecto a la instalación de certificados raíz...
Fernando Acero30 Junio 2008 - 9:01am
Hola:
Sinceramente, creo que la FNMT tiene poco que decir en este caso que nos ocupa, el problema no se produce solamente con los certificados de la FNMT, aunque en España, como es lógico, es el caso más normal.
En relación con el problema de Barrapunto, pues bueno, ya lo he comentado, lo que hay que hacer es instalar el certificado raíz.
Un saludo, Fernando Acero
Pues a mi me va como la seda....
anónimo29 Junio 2008 - 5:20pm
Ubuntu Hardy / Firefox 3.0
Bueno, eso es posible
Fernando Acero30 Junio 2008 - 9:11am
Parece que el problema se produce cuando se lanza una versión anterior de Firefox, eso si, cuando el problema se manifiesta, por el momento no hay solución. Por lo tanto es plausible ser usuario de Firefox, con independencia de la versión que tengamos y no tener problemas. Yo tampoco tuve problemas con la rama 2.0, pero en ese caso, era la única que tenía en mi sistema. Ahora el problema surgió con la instalación de la 3.0, que compartía con la última de la rama 2.0.
Como he comentado, el problema, una vez que se manifiesta, no es un problema relacionado con un determinado certificado, se trata de un problema con las claves privadas de los certificados.
Un saludo, Fernando Acero
Curioso
Aescalera30 Junio 2008 - 4:37pm
Hola Fernando, cuanto tiempo.
Pues el caso es que ahora mismo me está funcionando bien (Ubuntu Hardy/Firefox 3). Con certificados generados por mi mismo exporto certificados/ borro certificados / importo certificados sin problemas. Pero si que me he encontrado el problema que comentas, aunque como he andado haciendo pruebas con una CA y lectores de tarjetas me suponía que el fallo era debido a mis pruebas. Y también proviene de FF 2, incluso he tenido alguna beta de FF 3.
De todas maneras, no por ningún motivo en concreto, pero FF 3 no me termina de convencer.
Hola Alvaro
Fernando Acero30 Junio 2008 - 10:51pm
Todo comenzó con las pruebas y cambios de versiones ante los problemas para acceder a las Notificaciones Seguras con los certificados de la FNMT. En un momento determinado, intenté exportar mis certificados y no hubo forma de hacerlo, luego intenté importar uno y tampoco. Te puedo asegurar que si lo instalo limpio desde mi Mandriva y no lo "incordio" lanzando versiones anteriores de Firefox y cosas de esas, tampoco tengo problemas, pudiendo importar y exportar y muchas más cosas. El caso es que del servicio técnico de las Notificaciones Seguras me han dicho que por el momento no está soportado Firefox 3, lo que en teoría me obliga a usar versiones anteriores y ya tenemos el lío. Pero algo pasa, puesto que también es cierto que desde que instalé la versión 3, tampoco he sido capaz de hacer funcionar las Notificaciones.
He de decir para tu tranquilidad, que no es un problema relacionado con los certificados y mucho menos, con los de la FNMT (ya sabes que soy un usuario perenne de los mismos), puesto que antes de instalar y arrancar otras versiones, no tenía ningún problema e importaba y exportaba perfectamente, tanto con todas las versiones de la rama 2.0x que fui instalando unas sobre otras, como con la 3. En este caso, también he de decir, que la instalación ya no me funcionó del mismo modo y no tuve más remedio que eliminar mi directorio .mozilla y /usr/local/firefox para que funcionase tras la instalación (puede que por algún plug-in no soportado por esta versión 3 o algo por el estilo, tampoco lo se). Afortunadamente tenía copia de seguridad de todo y tras unos minutos ya tenía todo igual y funcionando, hasta que se produjo el fallo referido.
El caso es que he estado dando tantos bandazos, cambiando versiones de Java y navegadores (distintas versiones de la rama 2 de Firefox, en un intento de hacer que funcionasen las Notificaciones Seguras, que no se en el momento exacto que se produjo el problema, o el motivo del mismo.
Con las pruebas que voy haciendo, se va acotando el asunto, pero no puedo decir mucho más en este momento ya que no identificamos el origen. Lo único que puedo afirmar, es que si borro el directorio .mozilla y instalo todo, se acaban los problemas. He intentado acceder al contenedor de certificados usando una versión antigua de Firefox y curiosamente, lo que antes hacía sin problemas a través del perfil default, ahora no funciona y aparece un mensaje siguiente: Error sanitizing sessions: TypeError: Components.classes['@mozilla.org/security/sdr;1'] has no properties. es decir, que ahora solamente puedo acceder al contenedor y con limitaciones, desde la versión 3. Pensaba que si volvía a una versión anterior, al menos podría tomar el control del contenedor de certificados y exportarlos o importarlos.
No soy el único, que yo sepa, hay al menos 3 bugs relacionados con este en Bugzilla y el problema es que la Interfaz de Usuario lanza "por motivos desconocidos", pero eso hay que decirlo, es común a todas las versiones de Mozilla/Firefox. También he de decir que este problema también ha aparecido en versiones anteriores de la rama 2.0x, pero claro, al no haber códigos de error que lo detallen, todo es a ciegas.
Ahora estoy intentando convencerlos de que es necesario usar mensajes de error más explícitos para depurar los problemas y para dar soporte a las aplicaciones de e-administración. Estamos en ello, por el momento no te puedo adelantar si tendré éxito en el intento o no.
Ya iré contando por estos lares lo que vaya logrando y entendiendo.
Un saludo, Fernando Acero
Ya...
anónimo29 Junio 2008 - 5:36pm
¿Con algún certificado en concreto o hablamos por hablar?
Los problemas son distintos
anónimo29 Junio 2008 - 2:41pm
Hola a todos:
Estamos hablando de problemas distintos, por un lado, de la falta de certificados raíz para poder comprobar, algo que es relativamente sencillo de lograr, al menos, con el de la FNMT, cuyo certificado raíz está en, este enlace. Tal como me ha comentado Eddy Nigg esto es una decisión de diseño, que además creo que es acertada, el sistema debe avisar cuando hay un problema con los certificados de una página (certificado de un dominio distinto, certificado caducado, etc) y debe ser el usuario el que tome la decisión adecuada.
En este sentido hay bugs abiertos en torno a este asunto:
https://bugzilla.mozilla.org/show_bug.cgi?id=433324
Que en su mayoría están cerrados ya que como digo, se solucionan con los certificados adecuados, o con la instalación de los certificados raíz.
Respecto al problema que nos ocupa, lo siento por el usuario de Ubuntu, pero este problema también le ocurre a él en ciertas condiciones:
https://bugs.launchpad.net/ubuntu/+source/firefox-3.0/+bug/1...
Hay abiertos algunos bugs relacionados con este tema en Bugzilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=440033
https://bugzilla.mozilla.org/show_bug.cgi?id=374845
Pero, sinceramente, lo que más me preocupa es que sean complicados de solucionar, por la decisión de no soportar los errores que proporciona el PSM, de Firefox, este es el fondo de la cuestión puesto que ese "por causas desconocidas", nos impide saber lo que realmente pasa con la exportación o importación del certificado.
La solución de crear un nuevo perfil de usuario, como alguien me ha sugerido, creo que no es la mejor solución, puesto que si no tienes copia de seguridad de un certificado que te acabas de bajar de la Web, acabarás perdiéndolo.
Un saludo, Fernando Acero
Problemas usuario comun
anónimo29 Junio 2008 - 1:45pm
Firefox siempre me ha parecido sencillisimo en su uso, pero en este FF3 el tema de los certificados es complicado, por lo menos a mi me lo pareció.
Intente entrar en la pagina del catastro para acceder a las informaciones catastrales, y me daba un error:
"La conexión segura ha fallado" y que no se confiaba en el certificado.
Esto tiene solución indagando un poco, pero un usuario corriente no sabría hallar la solución, o le pareceria complicado, con el consiguiente enfado. Esto es un gran error en mi opinion por parte de Mozilla.
Como he dicho...
anónimo29 Junio 2008 - 3:01pm
Como he dicho antes, es un problema de certificados raíz, algo muy distinto de lo que yo comento, por otra parte, me parece muy correcto que el navegador avise de los problemas con los certificados de los sitios.
Desgraciadamente la seguridad y la comodidad están reñidas y no olvidemos que si nos tiramos a la piscina a usar el e-dni, o los certificados digitales sin saber lo que hacemos, podremos tener serios problemas.
Un saludo, Fernando Acero
Sin los problemas mencionados
anónimo29 Junio 2008 - 1:02pm
Lo único que puedo decir es que yo no tengo estos problemas usando Firefox 3.0 (Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9) Gecko/2008061015 Firefox/3.0) en Ubuntu 8.04 e instalado desde los repositorios oficiales de este sistema operativo.
Itan
Veo que no soy el único
anónimo29 Junio 2008 - 11:50am
Yo no lo he probado con certificados de la administración, pero he visto que Firefox falla con bastantes certificados, entre ellos, el de Google, y me daba la opción de "Desaparecer de dicha pagina" o aceptar el certificado a pesar de que lo consideraba no válido.