¿Navegadores con los que se puede obtener el certificado FNMT?

01/03/2020

¿Navegadores con los que se puede obtener el certificado FNMT?

Creado en 01/03/2020. Autor: Juan Arana

FNMT anuncia que con Mozilla 69 (y probablemente los superiores) no se puede solicitar un certificado electrónico o e-certificado [1]. De este modo, desde Macintosh y Linux no se pueden solicitar certificados a no ser que instalemos una versión de Mozilla anterior o instalemos otros programas.

¿Por qué FNMT es tan restrictiva en los navegadores con los que se puede solicitar certificados?. En esta entrada vamos a tratar de explicarlo.

Los navegadores más habituales son Internet Explorer, Edge, Firefox-Mozilla, Chrome, Safari (en Macintosh), Opera.

FNMT utiliza una función de los sistemas operativos para generar dos valores, la clave privada y la clave pública [2], que son componentes esenciales del e-certificado. Estas cadenas se generan dentro del ordenador desde el que se está solicitando y la clave privada no es necesario que salga nunca de ese ordenador. Esto refuerza la seguridad del e-certificado.

FNMT, hasta ahora, en caso de Mozilla, ponía en funcionamiento esta generación de claves a través de una etiqueta HTML, <keygen> cuando un usuario utiliza la “Solicitud de certificado”. Cuando se invoca un <keygen> desde un navegador se pone en marcha la generación de claves y se envian a la FNMT los datos del solicitante y la “clave pública” (no la “clave privada”). FNMT le da un visto bueno, lo anota, le pone un sello y el certificado se puede descargar.

Mozilla sin embargo ha decidido que a partir de la versión 69 no procesará <keygen>. Chrome lo habia hecho ya hace algunos años. Motivos de seguridad parecen estar en esa decisión. <keygen> pertenecía a la norma HTML5, pero ya no pertenece y otros navegadores no la procesan ([3] y más detalles sobre el debate en [4]).

La solicitud de certificado en Internet Explorer (IE) no se hace con una invocación a <keygen> sino con un componente propio de IE: el Active X que no funciona en Edge, el navegador de Windows 10. Por eso en IE se puede seguir solicitando pero no en Edge.

FNMT señala que, puesto que la generación de e-certificados utiliza productos de terceros y cuenta con recursos limitados, queda a expensas de decisiones que no están bajo su control. Lo explica en [7].

¿Qué soluciones caben?

a) Para aplicar el propio usuario

- Desinstalar en Windows, Macintosh o Linux en Mozilla 69 e instalar el Mozilla 68 como indica FNMT en su FAQ 1716 [5]

- Una solución a corto plazo para sistemas operativos que permiten la utilización de aplicaciones “portables” (https://portableapps.com): instalar una versión anterior de Mozilla-Firefox sin desinstalar la versión de Mozilla en modo nativo. En [6] se encuentran versiones “anteriores” de Mozilla portable. Con Windows es una solución que la hemos probado con éxito.

b) Qué puede hacer FNMT

Podría desarrollar una aplicación que no delegara en el navegador la generación de la pareja de claves pública/privada si no que las generara ella misma. Ver [8]

Tras la generación del par de claves, la clave pública, junto con los datos personales del solicitante, debieran ser enviados a FNMT, a través de un Servidor Intermedio de Recepción de Certificados. FNMT tras la verificación de la identidad del solicitante y comprobados que sus datos personales con correctos (bien porque el solicitante se presente en una oficina de registro o porque utilice el DNI electrónico), generaría y firmaría el certificado y lo volvería a una aplicación de descarga de certificados para que el usuario lo descargara y quedara instalado en el sistema operativo del solicitante. El certificado así instalado sería visible desde los navegadores y en el caso de Macintosh desde la aplicación “llavero”.

Seguramente esta aplicación de generar claves tendría que ser instalada por el solicitante en su ordenador (de forma similar a como se instalan las “app” en los teléfonos móviles”) y sería deseable que no le requirieran al solicitante ni instalaciones de productos complementarios ni configuraciones: que todo lo que se necesite esté incluido en el instalable.

Pensando en el futuro, no estaría mal que esta aplicación pudiera funcionar en teléfonos móviles.

CONCLUSION: No es previsible que en posteriores versiones de Mozilla se pueda solicitar la generación de un certificado FNMT (en el momento de publicar esta nota está en versión 73). Sería más probable que FNMT desarrollara una aplicación con una forma diferente de solicitar y descargar certificados.

Agradecimiento: A Sergio Jiménez (@craselsau en Twitter), editor de analiticapublica.es quien en un tuit de 12:27 a. m. · 6 dic. 2019 nos avisó de esta anomalía.

Referencias:

[1] https://www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certifi...

[2] http://www.cert.fnmt.es/curso-de-criptografia/criptografia-de-clave-asim...

[3] https://www.meneame.net/c/28403444 (sobre <keygen> y Active X)

[4] https://lists.w3.org/Archives/Public/www-tag/2015Sep/0001.html (debate en W3 con Tim Berners-Lee)

[5] https://www.sede.fnmt.gob.es/preguntas-frecuentes/acerca-de-mozilla-fire...

[6] https://sourceforge.net/projects/portableapps/files/Mozilla%20Firefox%2C...

[7] http://tucertificadodigital.es/adaptacion-a-navegadores-y-otras-incidenc...

[8] http://www.fnmt.es/documents/10179/10677281/20180711-PPT/42d43d7f-8117-3...