DailyCosas 2.0

Este artículo es como una segunda parte del exitoso Firma digital FNMT desde Firefox. Este artículo asume que usas Firefox, en otros navegadores habrá un proceso equivalente
Con cosas como éstas te das cuenta que este país es de traca: Llegas a la web de la Policía Nacional realizada exprofeso para solicitar cita previa para obtener el DNIe: https://www.citapreviadnie.es/ y te sale un aviso de error de Firefox: “Esta conexión no está verificada”. Lo cual da bastante miedito, ya que estamos hablando de la web a través de la que conseguir tu Documento Nacional de Identidad.

Pero sin que nos tiemble el pulso extendemos los “Detalles técnicos” y leemos:

www.citapreviadnie.es usa un certificado de seguridad no válido.
No se confía en el certificado porque no se confía en el certificado emisor.
(Código de error: sec_error_untrusted_issuer)

Bien, ahora empieza a quedar mas claro. Si extendemos “Entiendo los riesgos” y le damos a “Añadir excepción…” ahora a “Obtener certificado” y finalmente vemos el certificado de la página y entonces detectamos que la Autoridad Certificadora es “AC RAIZ DNIE” y en concreto “AC DNIE 001”. Así que el problema reside en que el emisor del certificado es la Policía Nacional y este certificado no está entre los que vienen por defecto en Firefox.

La solución pasa entonces por ir a la web de la policía nacional: http://www.dnielectronico.es/seccion_integradores/auto_cert_sub.html
Descargar el certificado AC DNIE 001 (el primero) e instalarlo en tu navegador. Preferencias > pestaña Avanzado > pestaña Cifrado > botón Ver Certificados > pestaña Autoridades > Importar.

El auténtico origen del problema: Múltiples Autoridades Certificadoras.

Empecemos dando un repaso al funcionamiento de los certificados digitales. Todo se basa en una cuestión de confianza, existen unas entidades de suficiente fuerza para que todo el mundo confie en ellas, éstas pueden emitir certificados digitales y si alguien confia en ellas, confia en los certificados que emiten.

Hace bastante tiempo que la Fábrica Nacional de Moneda y Timbre (FNMT), como emisora de billetes y de documentos identificativos, decidió dar el salto al mundo digital. Y puedo asegurar que se ha convertido en la entidad española de confianza de referencia, mucha gente en este país ha tenido una firma digital del FNMT antes (ya vimos en el artículo de hace 3 años, como descargar el certificado raíz de la FNMT). Entonces, principalmente con la lllegada del DNIe, la Policía Nacional (DGP) ha decidido ser una entidad raíz, pero parece que no se lo ha dicho a nadie (y además ha decidido ser mas de una entidad raíz como veremos a continuación).

Bola Extra: ¿Y si solo quiero ver la web de la policía?

Y después de todo lo anterior, llegas a la web de la policía nacional, entras en alguna página segura (como la de Denuncia por internet) y el Firefox te dice que no es una web segura. ¿Otra vez? ¿Esto es el Día de la Marmota?

www.policia.es usa un certificado de seguridad no válido.
No se confía en el certificado porque no se confía en el certificado emisor.
(Código de error: sec_error_untrusted_issuer)

Y al mirar el certificado nos llevamos las manos a la cabeza, en esta ocasión la Autoridad Certificadora es “AC RAIZ DGP” > “AC DGP 001” ¿No podrían haber usado esta autoridad para el DNIE? ¿Porque tengo que autorizar de tantas maneras a la Policía?

En la portada de Policia.es a la derecha podemos ver que pone “Certificado de la Autoridad Raíz del C.N.P.“, y pulsando ahí descargarlo. (Curiosamente la primera vez que cargué la página el enlace estaba desactivado y me volví loco buscando mas lejos). Gracias por ponerlo tan a mano.

Ahora, espero que la Policía Nacional se haya puesto en contacto con los fabricantes de navegadores y les haga llegar sus certificados para que venga integrado en futuras versiones de los mismos y no suceda esto en el futuro.