14 marzo 2010

Con esta imagen de la izquierda me dio la bienvenida el servidor de loterías y apuestas (juegos.loteriasyapuestas.es) cuando traté de autenticarme con Firefox para jugar la quiniela de todas las semanas.

Para evitar añadir una Excepción como índica el último botón del mensaje suelo abrir IE8 de mi Windows7 con el que este problema no se reproduce (ya contaremos el motivo). Pero hoy decidí arreglarlo.

El código de error que se muestra "sec_error_untrusted_issuer" indica que el emisor del certificado SSL que se encuentra en el servidor no es una de las entidades de confianza de Firefox, que han superado la política necesaria para que su certificado raíz sea incluido en la aplicación por defecto.
Firefox, a diferencia de Internet Explorer u Chorme y al igual que opera, mantiene un contenedor independiente al sistema operativo de certificados raíz que pueden validar si se ha firmado o no un certificado y si se puede identificar el servidor web de forma segura.

En la gran mayoría de casos este problema se produce cuando se ha generado un certificado raíz, un certificado público y la clave privada específicamente para un sistema con el único objetivo de que la comunicación entre servidor y cliente sea cifrada perdiendo la posibilidad de validar la identidad del sistema. Esto se hace así porque en general se cobra por la firma de certificados y poca gente utiliza alguna de las opciones gratuitas que hay en Internet. Si nos encontramos con eso no quedará más remedio que aceptar la excepción.

Para el caso de la web que cubre mis necesidades ludópatas tenía otra solución. Lo primero que observe y que siempre se ha de comprobar son las propiedades del certificado. Donde entre uno de los parámetros se especifica quién es el emisor.



Por lo tanto, si quisiera que Firefox pudiese comprobar correctamente la validez de este certificado (y evitar el error) sería necesario que tuviese instalado el certificado raíz de la FNMT en su repositorio que puede ser consultado mediante la navegación por los menús: Herramientas->Opciones->Avanzado->Cifrado->Ver Certificados->Autoridades, debería mostrar una pantalla similar a la siguiente, donde no hay referencia a la FNMT.


Para instalar el certificado raíz la FNMT ha publicado unas instrucciones muy sencillas de seguir que consisten en descargarlo de su pagina web e importarlo desde esta misma ventana. Finalmente debería indicarse que se confía en la autenticidad y finalmente seleccionarlo y pulsar sobre "Editar" para aceptar las casillas para las que se quiera utilizar.




Con la importación hecha correctamente no volveré a tener avisos de advertencia ni cuando haga mis apuestas ni cuando entre en muchos otros servicios web  que se ofrecen al ciudadano y que están firmados por la FNMT.

El procedimiento en Opera es similar y se deberá importar para evitar la alerta.Configuración->Opciones->Avanzado->Seguridad->Administrar certificados->De autoridades:


Para finalizar, comentar que en el caso de Chrome o de Internet Explorer antiguos al utilizar el contenedor de certificados del sistema operativo con descargar el archivo y hacer doble click sobre él se importará automáticamente siguiendo los pasos hasta finalizar. Aunque en Chrome son algo más paranóicos y comprueba que no accede a la lista de revocación (CRL),  ya que la FNMT no la publica, y por lo tanto avisa de que no se puede comprobar pese a tener el certificado raíz correctamente instalado.


3 comments :

Anónimo dijo...

Genial!! que ya estaba un poco mosca con tanto mirar certificados, para que luego fuesen \casi) todos de la FNMT!

Anónimo dijo...

Muchas gracias, es un gran aporte.

mbs dijo...

perfecto!! muchisimas gracias.