Problema con Firefox 3 y los certificados digitales

Enviado por Fernando Acero el 29. Junio 2008 - 11:04.

Por Fernando Acero

Como la mayoría de los usuarios de Firefox, me he actualizado a la versión 3 aprovechando el "Download Day", colaborando así al recuento para el Guiness. Como es lógico, tras descargarlo, lo primero que he hecho es instalarlo y he tenido un problema.

Una vez configurado, e instalados todos los complementos, he intentado acceder a las Notificaciones Seguras de nuestra querida Administración y no ha sido posible. He cambiado configuraciones y versiones de Java y he realizado pruebas durante varios días, sin ningún éxito. Puesto en contacto contacto con el servicio técnico, me han dicho que están en ello y que esperan tener listo el sistema para que funcione con Firefox3. Mientras, me recomiendan que use una versión antigua, algo que tengo que probar cuando tenga tiempo.

Sin embargo, durante las pruebas apareció otro problema relacionado con el contenedor de certificados de Firefox: no puedo importar o exportar certificados...

Siempre obtengo los mensajes:

a) Fallo en la recuperación del archivo PKCS #12 por motivos desconocidos.

b) Se produjo un fallo por motivos desconocidos al guardar la copia de seguridad
del archivo PKCS #12.

En este punto, comencé a buscar información por la Red y encontré esto:

http://www.pki.gov.ar/index.php?option=com_content&task=view...

Pero borrar el certificado raíz de la FNMT no ha funcionado en absoluto, tampoco una excepción relacionada con dicho certificado que había en la pestaña Preferencias | Cifrado | Ver certificados | Servidores.

Con otra prueba comprobé algo curioso, puedo cambiar contraseñas sin problemas o instalar certificados generados desde la web, como comprobé con un certificado de https://www.startssl.com/. Tampoco tengo problemas para instalar certificados raíz o al borrarlos, o al generar excepciones para páginas.

Es decir, que el problema lo tengo cuando quiero importar o exportar una clave pública desde un archivo, o desde el contenedor a un archivo. Una vez instalado el certificado de https://www.startssl.com/, sigo teniendo problemas para exportar una copia. La única solución es borrar a lo bruto el directorio .mozilla en mi usuario y dejar que Firefox lo cree de nuevo, pero eso supone tener que configurar e instalar todo de nuevo, incluidos los certificados.

Visto lo visto, decidí iniciar un bug en Bugzilla, pero lo que he obtenido de Mr. SSL (Nelson), no ha podido preocuparme más:

Sorry, as a matter of principle, I don't work on bugs about failures that PSM reports as "for an unknown reason". NSS reports specific error codes that say what the reason is. For some reason, PSM decides to discard that information and report "for an unknown reason". That PSM choice has the effect that when users experience failures, instead of taking simple corrective actions idicated by specific error codes, they file bugs. The NSS and PSM developers get asked to diagnose a problem that was already diagnosed by NSS, but that diagnosis was discarded by PSM.

Years ago, when PSM was being first developed, the developer responsible for doing the error code UI was not up to the job, and the display of error codes became the last thing to be completed. The manager of the project, desiring to get it done more quickly, decided to just take all the remaining error codes and report them "for an unknown cause". That was 8 years ago, and from that to do this, no person responsible for the PSM UI has thought it important to fix that utterly useless UI.

My position is this: There is no reason that the NSS team should do extra work to diagnose problems whose diagnosis has already been given by NSS, but was discarded by Firefox. UI is Firefox's responsibility, not NSS's. If it is not important to the Mozilla/Firefox/UI community to report those error codes, then it certainly is not worthy of the NSS team's time either.

Es evidente que este es un problema de la comunidad de desarrollo de Mozilla/Fifefox, pero también es cierto que es un serio hándicap para este navegador, en un momento en el que el uso de certificados digitales se está generalizando de la mano de la e-administración.

Sin duda, la falta de códigos de diagnóstico es un serio problema, tanto para los usuarios, como para los que intenten implementar procedimientos administrativos que sean compatibles con este navegador y luego quieran dar soporte técnico a los mismos.

Por el momento he solicitado una persona de contacto en el proyecto Mozilla / Firefox para ver si se logra que esos mensajes de error se vean en la pantalla. Comportamiento irritante de una aplicación libre, cuando lo que más me gustaba de los programas libres era el control, el diagnóstico de los problemas y las posibilidades de auditoría que tienen.

Dicho lo dicho, ¿a alguien se le ocurre una forma para solucionar el problema?

Nota del editor: Barrapunto trata también otro tema relacionado.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Veo que no soy el único

Enviado por anónimo el 29. Junio 2008 - 11:50.

Yo no lo he probado con certificados de la administración, pero he visto que Firefox falla con bastantes certificados, entre ellos, el de Google, y me daba la opción de "Desaparecer de dicha pagina" o aceptar el certificado a pesar de que lo consideraba no válido.

Sin los problemas mencionados

Enviado por anónimo el 29. Junio 2008 - 13:02.

Lo único que puedo decir es que yo no tengo estos problemas usando Firefox 3.0 (Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9) Gecko/2008061015 Firefox/3.0) en Ubuntu 8.04 e instalado desde los repositorios oficiales de este sistema operativo.

Itan

Problemas usuario comun

Enviado por anónimo el 29. Junio 2008 - 13:45.

Firefox siempre me ha parecido sencillisimo en su uso, pero en este FF3 el tema de los certificados es complicado, por lo menos a mi me lo pareció.

Intente entrar en la pagina del catastro para acceder a las informaciones catastrales, y me daba un error:

"La conexión segura ha fallado" y que no se confiaba en el certificado.

Esto tiene solución indagando un poco, pero un usuario corriente no sabría hallar la solución, o le pareceria complicado, con el consiguiente enfado. Esto es un gran error en mi opinion por parte de Mozilla.

Como he dicho...

Enviado por anónimo el 29. Junio 2008 - 15:01.

Como he dicho antes, es un problema de certificados raíz, algo muy distinto de lo que yo comento, por otra parte, me parece muy correcto que el navegador avise de los problemas con los certificados de los sitios.

Desgraciadamente la seguridad y la comodidad están reñidas y no olvidemos que si nos tiramos a la piscina a usar el e-dni, o los certificados digitales sin saber lo que hacemos, podremos tener serios problemas.

Un saludo, Fernando Acero

Los problemas son distintos

Enviado por anónimo el 29. Junio 2008 - 14:41.

Hola a todos:

Estamos hablando de problemas distintos, por un lado, de la falta de certificados raíz para poder comprobar, algo que es relativamente sencillo de lograr, al menos, con el de la FNMT, cuyo certificado raíz está en, este enlace. Tal como me ha comentado Eddy Nigg esto es una decisión de diseño, que además creo que es acertada, el sistema debe avisar cuando hay un problema con los certificados de una página (certificado de un dominio distinto, certificado caducado, etc) y debe ser el usuario el que tome la decisión adecuada.

En este sentido hay bugs abiertos en torno a este asunto:

https://bugzilla.mozilla.org/show_bug.cgi?id=433324

Que en su mayoría están cerrados ya que como digo, se solucionan con los certificados adecuados, o con la instalación de los certificados raíz.

Respecto al problema que nos ocupa, lo siento por el usuario de Ubuntu, pero este problema también le ocurre a él en ciertas condiciones:

https://bugs.launchpad.net/ubuntu/+source/firefox-3.0/+bug/1...

Hay abiertos algunos bugs relacionados con este tema en Bugzilla:

https://bugzilla.mozilla.org/show_bug.cgi?id=440033

https://bugzilla.mozilla.org/show_bug.cgi?id=374845

Pero, sinceramente, lo que más me preocupa es que sean complicados de solucionar, por la decisión de no soportar los errores que proporciona el PSM, de Firefox, este es el fondo de la cuestión puesto que ese "por causas desconocidas", nos impide saber lo que realmente pasa con la exportación o importación del certificado.

La solución de crear un nuevo perfil de usuario, como alguien me ha sugerido, creo que no es la mejor solución, puesto que si no tienes copia de seguridad de un certificado que te acabas de bajar de la Web, acabarás perdiéndolo.

Un saludo, Fernando Acero

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Pues a mi me va como la seda....

Enviado por anónimo el 29. Junio 2008 - 17:20.

Ubuntu Hardy / Firefox 3.0

Ya...

Enviado por anónimo el 29. Junio 2008 - 17:36.

¿Con algún certificado en concreto o hablamos por hablar?

Bueno, eso es posible

Enviado por Fernando Acero el 30. Junio 2008 - 9:11.

Parece que el problema se produce cuando se lanza una versión anterior de Firefox, eso si, cuando el problema se manifiesta, por el momento no hay solución. Por lo tanto es plausible ser usuario de Firefox, con independencia de la versión que tengamos y no tener problemas. Yo tampoco tuve problemas con la rama 2.0, pero en ese caso, era la única que tenía en mi sistema. Ahora el problema surgió con la instalación de la 3.0, que compartía con la última de la rama 2.0.

Como he comentado, el problema, una vez que se manifiesta, no es un problema relacionado con un determinado certificado, se trata de un problema con las claves privadas de los certificados.

Un saludo, Fernando Acero

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Curioso

Enviado por Aescalera el 30. Junio 2008 - 16:37.

Hola Fernando, cuanto tiempo.

Pues el caso es que ahora mismo me está funcionando bien (Ubuntu Hardy/Firefox 3). Con certificados generados por mi mismo exporto certificados/ borro certificados / importo certificados sin problemas. Pero si que me he encontrado el problema que comentas, aunque como he andado haciendo pruebas con una CA y lectores de tarjetas me suponía que el fallo era debido a mis pruebas. Y también proviene de FF 2, incluso he tenido alguna beta de FF 3.

De todas maneras, no por ningún motivo en concreto, pero FF 3 no me termina de convencer.

Hola Alvaro

Enviado por Fernando Acero el 30. Junio 2008 - 22:51.

Todo comenzó con las pruebas y cambios de versiones ante los problemas para acceder a las Notificaciones Seguras con los certificados de la FNMT. En un momento determinado, intenté exportar mis certificados y no hubo forma de hacerlo, luego intenté importar uno y tampoco. Te puedo asegurar que si lo instalo limpio desde mi Mandriva y no lo "incordio" lanzando versiones anteriores de Firefox y cosas de esas, tampoco tengo problemas, pudiendo importar y exportar y muchas más cosas. El caso es que del servicio técnico de las Notificaciones Seguras me han dicho que por el momento no está soportado Firefox 3, lo que en teoría me obliga a usar versiones anteriores y ya tenemos el lío. Pero algo pasa, puesto que también es cierto que desde que instalé la versión 3, tampoco he sido capaz de hacer funcionar las Notificaciones.

He de decir para tu tranquilidad, que no es un problema relacionado con los certificados y mucho menos, con los de la FNMT (ya sabes que soy un usuario perenne de los mismos), puesto que antes de instalar y arrancar otras versiones, no tenía ningún problema e importaba y exportaba perfectamente, tanto con todas las versiones de la rama 2.0x que fui instalando unas sobre otras, como con la 3. En este caso, también he de decir, que la instalación ya no me funcionó del mismo modo y no tuve más remedio que eliminar mi directorio .mozilla y /usr/local/firefox para que funcionase tras la instalación (puede que por algún plug-in no soportado por esta versión 3 o algo por el estilo, tampoco lo se). Afortunadamente tenía copia de seguridad de todo y tras unos minutos ya tenía todo igual y funcionando, hasta que se produjo el fallo referido.

El caso es que he estado dando tantos bandazos, cambiando versiones de Java y navegadores (distintas versiones de la rama 2 de Firefox, en un intento de hacer que funcionasen las Notificaciones Seguras, que no se en el momento exacto que se produjo el problema, o el motivo del mismo.

Con las pruebas que voy haciendo, se va acotando el asunto, pero no puedo decir mucho más en este momento ya que no identificamos el origen. Lo único que puedo afirmar, es que si borro el directorio .mozilla y instalo todo, se acaban los problemas. He intentado acceder al contenedor de certificados usando una versión antigua de Firefox y curiosamente, lo que antes hacía sin problemas a través del perfil default, ahora no funciona y aparece un mensaje siguiente: Error sanitizing sessions: TypeError: Components.classes['@mozilla.org/security/sdr;1'] has no properties. es decir, que ahora solamente puedo acceder al contenedor y con limitaciones, desde la versión 3. Pensaba que si volvía a una versión anterior, al menos podría tomar el control del contenedor de certificados y exportarlos o importarlos.

No soy el único, que yo sepa, hay al menos 3 bugs relacionados con este en Bugzilla y el problema es que la Interfaz de Usuario lanza "por motivos desconocidos", pero eso hay que decirlo, es común a todas las versiones de Mozilla/Firefox. También he de decir que este problema también ha aparecido en versiones anteriores de la rama 2.0x, pero claro, al no haber códigos de error que lo detallen, todo es a ciegas.

Ahora estoy intentando convencerlos de que es necesario usar mensajes de error más explícitos para depurar los problemas y para dar soporte a las aplicaciones de e-administración. Estamos en ello, por el momento no te puedo adelantar si tendré éxito en el intento o no.

Ya iré contando por estos lares lo que vaya logrando y entendiendo.

Un saludo, Fernando Acero

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

1234siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...