sábado, 22 de mayo de 2010

¿Problemas usando la firma digital?

Vale. Supongamos que eres un "adelantado a tu tiempo" que ya hace muchos años pediste una firma digital a la FNMT. O que te has comprado un lector de DNI para usar tu DNI como firma digital.

Armado con tu firma tecnológica, y obviando los peligros que se te puedan presentar en caso de que te roben el ordenador (hablaré de ellos en otro post), tratas de resolver tus gestiones con la administración. Pero héte aquí que el proceso encalla en algún momento. ¿Cómo podemos arreglarlo?

A continuación tratamos de los problemas más habituales al usar la firma digital.

1. ¿Hace falta algún tipo de hardware?


Para usar el DNI electrónico, necesitas un lector de tarjetas, que debería incluir un driver. Puedes encargar un "Criptokit" a la FNMT o comprar uno en una tienda de informática (el que ofrece la FNMT es como el modelo barato que compré en una tienda, pero sospecho que la FNMT cobrará unos eurillos más).

2. ¿Hace falta algún tipo de software?


Si usas el DNI electrónico, la respuesta probablemente será: "Sí". Aunque Windows Vista incorpora casi todos los drivers necesarios, hay un par de elementos adicionales que instalar. En caso de linux no lo tengo muy claro: existen suites de lectura de tarjetas (por ejemplo, opensc), pero no sé si es necesario instalarlas o si se incluyen por defecto en las instalaciones del sistema.

Además, algunas administraciones requieren un software específico instalado en el navegador (por ejemplo, el envío de hojas de reclamaciones a la Oficina de Consumo de la Comunidad de Madrid). Normalmente, este software se descarga automáticamente, pero requiere un reinicio del sistema.

3. ¿Has instalado el certificado raíz de la FNMT?


En caso de que tengas linux, uses windows con un navegador antiguo, uses un navegador distinto de internet explorer, o no ejecutes las actualizaciones de seguridad de windows (obsérvese que eso excluye a casi todo el mundo menos a los usuarios de la última versión de explorer con windows actualizado), necesitarás instalar los certificados raíz de la FNMT, pues en caso contrario tu navegador no confiará ni en tus certificados ni en los certificados de los sitios web de la administración pública española.

Encontrar los certificados raíz dentro de la FNMT es un proceso arduo y complejo, pues todo está confabulado para que te instales el último windows. Busca los ficheros ACRAIZFNMTRCM.cer y FNMTClase2CA.crt e instálalos en tu navegador (dependiendo de tu configuración de java, es posible que TAMBIÉN necesites instalarlos en java, pero eso ya son palabras mayores). Asegúrate de instalar estos archivos desde la página oficial de la Fábrica Nacional de Moneda y Timbre (FNMT). Una buena búsqueda en google puede ser:
FNMTCLASE2CA.crt site:cert.fnmt.es.

Para instalar los certificados, tienes que ejecutar los mismos pasos detallados en el apartado "¿Está caducada tu firma?", y a continuación elegir instalar nuevo certificado. Tu navegador lo colocará automáticamente en el almacén de autoridades raíz de certificación de confianza. En java es más complicado, pues debes elegir el almacén manualmente.

4. ¿Estás impidiendo la ejecución de complementos?


Parece mentira, pero muchos servicios vinculados a la certificación electrónica usan applets java, en lugar de emplear los métodos estándar de www. Eso quiere decir que necesitan instalar complementos para comunicar tu ordenador con el servidor.
El problema es que los navegadores modernos, en lugar de mostrar una pantalla preguntando al usuario si desea ejecutar el complemento o no, lo bloquean automáticamente (esto es culpa de toda esa legión de imbéciles que pulsó "OK" cuando el navegador les propuso instalar un troyano). Aparece una notificación en la barra superior, pero lo más probable es que pulsándola volvamos a recargar la página y experimentemos de nuevo el mismo problema.

Una solución temporal para este tipo de problemas es mantener la tecla "Control" pulsada al hacer clic en el vínculo, pero a menudo no es efectiva.

La solución definitiva es que agreguemos el sitio web a nuestra lista de sitios de confianza (¡Por favor, mirad primero su certificado haciendo clic en el candado, no vaya a ser un sitio de phising!).
  • Internet Explorer 8 (y probablemente anteriores):
    Herramientas » Opciones de internet » Seguridad » click en Sitios de confianza » Sitios. En la casilla, escribe la URL del sitio actual (ejemplo: https://gestiona.madrid.org ). Pulsa "Agregar".
  • Desconozco el procedimiento para Mozilla Firefox.

Ten en cuenta que, como en cada cambio de gabinete cambian los URL de los distintos servicios del gobierno, es probable que al cabo de un año tengas que añadir una nueva dirección a la lista de sitios seguros.



5. ¿Está caducada tu firma?


Lo creas o no, muchos sitios electrónicos no informan al usuario de que la razón por la que no aceptan su firma electrónica es que está caducada (ejemplo: Hacienda). Recuerda que la firma del DNI electrónico caduca en unos tres años desde la fecha de expedición.
Para saber si tu firma ha caducado, usa el siguiente procedimiento:
  • Internet Explorer 8 (y probablemente anteriores):
    Herramientas » Opciones de internet » Contenido » Certificados (en caso de que tu DNI electrónico esté insertado, se te pedirá la contraseña). En la lista de certificados, aparece la fecha de caducidad de cada uno. Comprueba que no esté caducado.

  • Mozilla Firefox 3 (y quizá 2.0, pero probablemente no en el 1.0):
    Tools » Advanced » View Certificates (en caso de que tu DNI electrónico esté insertado, se te pedirá la contraseña). En la lista de certificados, aparece la fecha de caducidad de cada uno. Comprueba que no esté caducado.


En caso de que tu problema sea que la firma de tu DNI electrónico está caducada, puedes renovar la firma en una maquinita instalada en las oficinas del DNI, sin pedir hora. Si se trata de la firma de un certificado de la FNMT, el proceso de renovación se realiza telemáticamente.

Nota importante: si intentas entrar en una web usando una firma caducada, es posible que después de actualizar la firma tengas que reiniciar el navegador. En caso contrario, el sitio web seguirá "leyendo" tu firma caducada, en lugar de la nueva.
Nota importante 2: recuerda que tendrás que instalar tu firma nueva en todos los navegadores que vayas a usar.

6. ¿Es correcta la fecha de tu ordenador?


Si la fecha de tu navegador es incorrecta (lo cual podría ocurrir si la batería de reserva del reloj de tu ordenador se ha agotado, si tienes un virus que cambie la fecha, o si por alguna extraña razón estás usando un software que necesita una fecha en el pasado o en el futuro), tu ordenador se negará a reconocer los certificados del sitio https: o incluso el tuyo propio. Corrige la fecha.

7. ¿Hay caracteres especiales en tu nombre?


Lo creas o no, muchos ordenadores administrativos siguen empleando el juego de caracteres ISO-646, de la década de 1970, que no aceptaba acentos ni diéresis. Y como tu certificado digital sí los acepta (pues usa un sistema desarrollado a principios de los 90), pueden surgir errores en caso de que el servidor desee cotejar tu nombre con el certificado (en lugar de limitarse a comprobar el número de DNI). Uno de los sitios que dan este tipo de problemas es el de la seguridad social. Así que, si tienes la desgracia de llevar un apellido con diéresis, como yo, lo mejor que puedes hacer es ejercitar tu derecho al pataleo.

8. ¿Están los dioses de tu parte?


A menudo, a pesar de que cumples las condiciones anteriores, la cosa sigue sin funcionar. No está de Dios que lo consigas. Tras cuatro horas peleándose con el sistema, ha llegado el momento de rendirse, dejar de pensar en ello y esperar a que amanezca un nuevo día. Quizá mañana haya suerte.

2 comentarios:

Anónimo dijo...

Si no es por ti, desisto o abro el portátil a cabezazos.

Ha sido clave la instalación de los certificados de la FMNT.

Que les costará poner dos líneas explicándolo en las páginas oficiales.

Muchas gracias

José Moya dijo...

@Anónimo:
Gracias a ti por dejar el comentario. Son muchos los que no se toman la molestia...