"Navegador no soportado, vuelva a la versión 68 de Firefox": la pesadilla de los certificados pronto dejará de serlo
Cualquiera que haya tratado de obtener un certificado digital ha podido encontrarse con una situación extraña: la Fábrica Nacional de Moneda y Timbre (FNMT), la entidad que emite el certificado más usado, no soporta las nuevas versiones de Firefox, y
obliga a instalar una antigua versión del navegador que lógicamente tiene el problema de que devuelve al navegador vulnerabilidades que ya habían sido corregidas.
La razón es sencilla: Firefox ha dejado de soportar desde la versión 69 (de septiembre de 2019) un elemento del estándar HTML llamado "keygen" que facilitaba la generación de claves. Los problemas, no obstante, terminarán pronto:
la FNMT tendrá disponible una nueva herramienta este mismo mes de agosto.
El mensaje del terror: "Navegador no soportado"
Los usuarios que hayan intentado sacar un nuevo certificado digital para sus gestiones y trámites en la administración pública española
se enfrentan desde hace años a problemas en el ámbito del soporte de navegadores y sistemas operativos.
En nuestro país estos certificados los emite la Fábrica Nacional de Moneda y Timbre. El soporte de navegadores y sistemas operativos para su herramienta de creación de certificados
lleva tiempo dando problemas en navegadores como Firefox, que desde septiembre de 2019, con la llegada de Firefox 69, eliminó una característica crítica para el funcionamiento del sistema de la FNMT.
Se trata del elemento HTML que se encarga de generar un par de clave pública y clave privada y envía la clave pública al servidor dentro del proceso de registro que se usaba para generar el certificado.
Los propios responsables de Mozilla -la entidad que se encarga del desarrollo del navegador Firefox-
indican en su documentación que esta característica "
está obsoleta", y aunque aún puede funcionar en algunos navegadores "su uso se desaconseja ya que se podría eliminar en cualquier momento [de esos navegadores]".
En septiembre de 2019 Mozilla tomó la decisión de eliminar el soporte para este elemento. En
Digicert precisamente indicaban cómo quedaba la situación en ese momento:
solo Safari lo usa oficialmente, mientras que el viejo Internet Explorer hace uso otro tipo de control vía ActiveX y no se ve afectado por esa etiqueta.
Lo mismo ocurrió de hecho con Google Chrome en marzo de 2017 con la versión 57 de este navegador, que
también desactivó ese soporte, algo a lo que aludía la FNMT al explicar la situación de los navegadores
en aquel momento.
La solución durante cierto tiempo ha sido instalar Firefox 68 (o solicitar el certificado a través del DNIe)
Cuando aparece el temido error de "Navegador no soportado" en estos procesos la propia FNMT propone una solución,
que consiste en instalar Firefox 68 ESR (Extended Support Release) para poder completar toda la generación del certificado digital, aunque también es posible tratar de realizar el proceso con Internet Explorer en equipos basados en Windows.
Una
página de soporte específica hace mención a ese problema con la generación de claves y la renovación de certificados. En esa página se indica
cómo hacer una copia de seguridad de los datos que almacenamos en el navegador y se proporcionan los enlaces a Mozilla Firefox 68 de 32 y 64 bits.
Hay otra opción, y es el
uso del sistema Cl@ve que
se inauguró en 2014 y que permitirá realizar diversas gestiones e identificarnos en ellas sin necesidad ni del DNIe ni del Certificado digital.
La FNMT ya tiene la solución preparada, y llegará muy pronto
En la FNMT
indicaban en enero de 2020 que estaban trabajando ya en una herramienta que permita "
que las claves necesarias para la emisión de los certificados digitales se pudieran generar de forma independiente al navegador y al sistema operativo que se utilice".
La solución al problema está por tanto en marcha pero desde este organismo indicaban que
su desarrollo es complejo por abarcar todos los sistemas operativos (Windows, Linux, macOS) y los navegadores más habituales (Chrome, Firefox, Opera, Edge e Internet Explorer).
Nos hemos puesto en contacto con la FNMT, cuyos responsables nos han explicado que el desarrollo "ya está finalizado" aunque de momento están realizando algunas pruebas finales para evitar que en el despliegue definitivo haya problemas entre los usuarios.
Como nos explicaban desde la FNMT, este organismo
cuenta con 9 millones de usuarios y emiten más de 10.000 certificados al día, lo que hace importante que la puesta en marcha definitiva de la nueva solución tenga las mayores garantías posibles de que nada fallará.
Aún así tras todo el desarrollo y pruebas realizadas esperan poder tener la herramienta
disponible para todos los usuarios el próximo 17 de agosto, quizás una semana después.
El proceso será transparente para los usuarios, que simplemente accederán al sitio web para generar el certificado como siempre pero verán cómo el proceso ha cambiado ligeramente y ya no depende del sistema operativo o del navegador. De hecho desde FNMT indican que
han evaluado la herramienta con varias versiones de Windows, las tres últimas versiones de macOS y las cuatro distribuciones más populares de Linux, entre las que estaban Ubuntu o Debian.
El desarrollo ha sufrido algún que otro retraso para tratar de añadir más opciones a la herramienta y corregir algunos problemas de última hora. Como nos comentan desde FNMT, Firefox cambió la forma en la que trabaja el almacén de certificados del navegador, y además
quisieron añadir soporte para el nuevo Microsoft Edge basado en Chromium.
Las pruebas y las
auditorías de seguridad interna y externa de la herramienta -entre otras cosas, la FNMT jamás tendrá la clave privada que se genera para el usuario- han sido también intensivas para garantizar que no hubiera problemas con el nuevo sistema.
Esta herramienta
es una aplicación desarrollada en Java autocontenido, es decir, no es necesario tener instalado Java en el equipo. Se invoca por protocolo en el navegador desarrollar una extensión por cada navegador y sistema operativo y luego mantenerla era inviable—, y eso hace que el primer paso del proceso indique al usuario que descargue e instale esa herramienta para poder completar el proceso.
A partir de ahí la herramienta se encarga de todo con la ayuda del navegador: genera las claves y no solo las almacena en el almacén de certificados del navegador con el que estemos realizando el proceso:
si tenemos otros navegadores instalados intenta también guardarlas en esos almacenes de certificados para poder trabajar indistintamente desde ellos a la hora de realizar los trámites.
Otro elemento destacado, nos explicaban desde la FNMT,
es la realización automática -si el usuario así lo desea- de copias de seguridad del certificado, un paso que normalmente los usuarios no daban porque tenían que realizar un proceso algo engorroso desde el navegador. Al no hacerlo y tener algún problema con el navegador se exponían a perder el certificado y tener que volver a generarlo, pero el nuevo sistema ayuda a minimizar es escenario.