Este artículo es como una segunda parte del exitoso Firma digital FNMT desde Firefox. Este artículo asume que usas Firefox, en otros navegadores habrá un proceso equivalente
Con cosas como éstas te das cuenta que este país es de traca: Llegas a la web de la Policía Nacional realizada exprofeso para solicitar cita previa para obtener el DNIe: https://www.citapreviadnie.es/ y te sale un aviso de error de Firefox: “Esta conexión no está verificada”. Lo cual da bastante miedito, ya que estamos hablando de la web a través de la que conseguir tu Documento Nacional de Identidad.
Pero sin que nos tiemble el pulso extendemos los “Detalles técnicos” y leemos:
www.citapreviadnie.es usa un certificado de seguridad no válido.
No se confía en el certificado porque no se confía en el certificado emisor.
(Código de error: sec_error_untrusted_issuer)
Bien, ahora empieza a quedar mas claro. Si extendemos “Entiendo los riesgos” y le damos a “Añadir excepción…” ahora a “Obtener certificado” y finalmente vemos el certificado de la página y entonces detectamos que la Autoridad Certificadora es “AC RAIZ DNIE” y en concreto “AC DNIE 001”. Así que el problema reside en que el emisor del certificado es la Policía Nacional y este certificado no está entre los que vienen por defecto en Firefox.
La solución pasa entonces por ir a la web de la policía nacional: http://www.dnielectronico.es/seccion_integradores/auto_cert_sub.html
Descargar el certificado AC DNIE 001 (el primero) e instalarlo en tu navegador. Preferencias > pestaña Avanzado > pestaña Cifrado > botón Ver Certificados > pestaña Autoridades > Importar.
El auténtico origen del problema: Múltiples Autoridades Certificadoras.
Empecemos dando un repaso al funcionamiento de los certificados digitales. Todo se basa en una cuestión de confianza, existen unas entidades de suficiente fuerza para que todo el mundo confie en ellas, éstas pueden emitir certificados digitales y si alguien confia en ellas, confia en los certificados que emiten.
Hace bastante tiempo que la Fábrica Nacional de Moneda y Timbre (FNMT), como emisora de billetes y de documentos identificativos, decidió dar el salto al mundo digital. Y puedo asegurar que se ha convertido en la entidad española de confianza de referencia, mucha gente en este país ha tenido una firma digital del FNMT antes (ya vimos en el artículo de hace 3 años, como descargar el certificado raíz de la FNMT). Entonces, principalmente con la lllegada del DNIe, la Policía Nacional (DGP) ha decidido ser una entidad raíz, pero parece que no se lo ha dicho a nadie (y además ha decidido ser mas de una entidad raíz como veremos a continuación).
Bola Extra: ¿Y si solo quiero ver la web de la policía?
Y después de todo lo anterior, llegas a la web de la policía nacional, entras en alguna página segura (como la de Denuncia por internet) y el Firefox te dice que no es una web segura. ¿Otra vez? ¿Esto es el Día de la Marmota?
www.policia.es usa un certificado de seguridad no válido.
No se confía en el certificado porque no se confía en el certificado emisor.
(Código de error: sec_error_untrusted_issuer)
Y al mirar el certificado nos llevamos las manos a la cabeza, en esta ocasión la Autoridad Certificadora es “AC RAIZ DGP” > “AC DGP 001” ¿No podrían haber usado esta autoridad para el DNIE? ¿Porque tengo que autorizar de tantas maneras a la Policía?
En la portada de Policia.es a la derecha podemos ver que pone “Certificado de la Autoridad Raíz del C.N.P.“, y pulsando ahí descargarlo. (Curiosamente la primera vez que cargué la página el enlace estaba desactivado y me volví loco buscando mas lejos). Gracias por ponerlo tan a mano.
Ahora, espero que la Policía Nacional se haya puesto en contacto con los fabricantes de navegadores y les haga llegar sus certificados para que venga integrado en futuras versiones de los mismos y no suceda esto en el futuro.
December 30th, 2014 13:08
muy buen aporte, ya que efectivamenete el firefox no la tiene en su lista, ni tampoco el explorer 11 del movil…
lo que no veo es descargarse el certificado desde una pagina que tampoco sabemos si es segura…. en fin…GERONIMOOOO
May 11th, 2016 19:29
Hola. Estamos en 2016. Este artículo es de 2010. Es decir, este problema tiene ya al menos 6 años. “Funciona” en todos los navegadores, no sólo en Firefox.
¿¿En serio??
September 5th, 2016 17:37
Pues estamos en 2016 y falla para todos los navegadores que no tengan “AC RAIZ DGP”. En mi caso lo he probado para Mozilla FirefoX y Google Chrome, actualizados a últimas versiones.
Curiosamente, hace poco parece que Mozilla ha añadido AC RAIZ FNMT y los problemas por ese lado se acabarán… pero DGP seguirá teniendo problemas.
September 13th, 2016 11:54
Solemos visitar miles de webs con https, y dudo que los navegadores los traigan todos.
Entiendo que en teoría más bien sería cuestión de que la policía solicitara la certificación de una entidad certificadora conocida por los navegadores (Verisign, etc..) y entonces no habría problema.
Aunque entiendo también que debe existir algún otro problema adicional, pues en este ámbito deben ser suficientemente profesionales. No estaría de más que en su página de información en que citan este error (http://www.dnielectronico.es/PortalDNIe/) indicaran algún detalle más avanzado sobre el tema, para evitar dudas.
December 11th, 2016 13:56
Hay que pensar en los usuarios. Los navegadores vienen con decenas de certificados raiz preinstalados, en los que todos confiamos porque han pasado unas pruebas de verificación antes de ser integrados. Son los fabricantes de los navegadores el punto de máxima confianza, ellos saben hacer las pruebas de confianza. Esas que un usuario de a pie no sabe hacer y hacen muy engorroso el proceso. Es como decir que tengo que hacerle pruebas de seguridad a mi coche cuando lo compro… o confiar en que fabricante y agencias de control las han hecho en fábrica.
Así que deben se los gobiernos de cada país, en caso de que quieran tener sus propios certificados raíz, a través de una única agencia ponerse en contacto con los fabricantes para ser incluidos. No se puede tener 2 certificados raíz distintos Policía y FNMT y que no vengan incluidos en los principales navegadores.
Los usuarios no tenemos que saber instalar un certificado raíz, pq no sólo significa descargar un archivo, también es verificar que es confiable y eso es técnicamente más complejo. Los usuarios no tenemos que contrastar el listado de certificados que tenemos instalados con un listado que nos de nuestra agencia gubernamental. Al final tiene que ser todo tan simple como comprobar que tenemos un candado verde en la barra de nuestro navegador.