EDICIóN GENERAL

Uno de cada tres ministerios tiene una página web que "no es segura"

#15 Es completamente absurdo tener que depender de la FNMT para validar el certificado de una página web.
#19 #17 Todas las entidades certificadoras requieren que sus claves públicas estén instaladas en el sistema operativo (si el navegador usa el almacen de certificados de windows: explorer, chrome,edge) o en el almacén de certificados del navegador (Firefox).
Si la mayoría de veces no necesitáis hacer esta operación es porque los certificados se han instalado de origen, pero la mayoría de entidades certificadoras gubernamentales como la FNMT se tienen que instalar expresamente.
#27 lo dicho, el usuario medio no sabe como hacer eso, asi que lo estan haciendo mal.
#19 O mucho me engaño o los certificados principales de la FNMT hace tiempo que vienen preinstalados en Firefox, Chrome y Edge.

#17 Es completamente normal y recomendable que se dependa de la FNMT, un organismo del estado español y no depender de ninguna manera de emisores extranjeros. Así como también sería recomendable que todo software de las administraciones fuese de código abierto y no depender de empresas extranjeras pero al menos hagámoslo bien con los certificados.

#29 Podríamos empezar por decir que eso fue reportado hace 12 años y fue corregido hace 3 años.
#33 el certificado del catastro esta firmado por la fnmt y a dia de hoy, con chrome 78, mi navegador no se fia de ella. cualquier accion manual que yo tenga que hacer para corregirlo debe estar al nivel de mi madre.
#35 Acabo de entrar con Edge (Chrome usa los mismos certificados ) y sin ningún problema he usado mis certificados de la FNMT para acceder a "Mi Catastro -> Inmuebles" .

No obstante, el catastro utiliza un certificado subordinado de la FNMT, yo dije el certificado principal. Si quieres, creo que es este el que debes instalar: www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Administracion_Pub
#35 Algo habrás hecho, porque la raíz de la FNMT viene incluida tanto en Windows (por lo tanto en Edge y Chrome) como en Firefox ni se sabe ya los años.
#42 hay vida mas alla de windows como para generalizar y culpar al usuario, no crees?
#45 Claro que hay vida más allá de Windows (yo mismo en casa uso elementary OS desde ya hace al menos 7 años). Pero uno tiene que ser consciente de que si no utiliza los estandares de facto le toca mirar como se ponen las cosas en marcha. Y hablamos de algo extremadamente sencillo. En Linux o Mac tan sencillo como instalar un paquete. En otras plataformas descargar la raíz y añadirla al almacén correspondiente...

Por otra parte el usuario "promedio" (al que ni le van ni le vienen estas cosas) utiliza Windows, y lo sabes perfectamente.
#46 lo dicho, si mi madre no sabe hacerlo, lo estan haciendo mal.
#33 Ya se que fue arreglado hace tres años, has leido el bug? Te parece razonable o serio esta forma de trabajar? Yo no me fío de una organización que haya trabajado así. Sencillamente esa gente no es confiable.

La CA es de 2008, es la misma que la del bug y en el bug me demuestran que ni son serios ni saben lo que hacen:
$ curl -s www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Raiz_FNMT-RCM_SHA2 | openssl x509 -inform der -noout -text | egrep -i 'before|after'
Not Before: Oct 29 15:59:56 2008 GMT
Not After : Jan 1 00:00:00 2030 GMT

Y la fmnt ni siquiera expone HTTPS:

$ openssl s_client -connect fnmt.es:443 -servername fnmt.es </dev/null
140038548285248:error:2008F002:BIO routines:BIO_lookup_ex:system lib:crypto/bio/b_addr.c:724:Name or service not known
connect:errno=22

$ curl -sI www.fnmt.es | grep HTTP
HTTP/1.1 200 OK

$ curl www.fnmt.es -vvs --connect-timeout 5
* Trying 193.104.0.100:443...
* TCP_NODELAY set
* Connection timed out after 5000 milliseconds
* Closing connection 0

Si a ti esto te parece serio ya no se ni que decir.

#30 Ya, y firefox ahora también lo incluye por defecto, lo que no quita que sean unos chapuzas.

cc #29
#57 Que fnmt.es no exponga https no afecta a la seguridad del certificado, este depende de fnmt.gob.es
Que la CA sea de 2008, la misma que del bug, es irrelevante ¿en qué le afecta el bug? El bug era "Add Spanish FNMT root certificate" se añadió, se cerró el bug ¿qué problema ves tú?

¿hacía falta pegar todo eso? podrías haberlo explicado por tu cuenta.
#59
> Que la CA sea de 2008, la misma que del bug, es irrelevante ¿en qué le afecta el bug?
Has leido el bug? La CA se considera segura porque es de confianza. Tu ves a esa gente trabajar y te parece mínimamente confiable? Tu confias en una CA que no tiene su propia web expuesta por HTTPS? Te parece que esta gente sepa lo que está haciendo?

> El bug era "Add Spanish FNMT root certificate" se añadió, se cerró el bug ¿qué problema ves tú?
Pero te has leido el bug? De verdad te parece normal que pasen por bugzilla los links al certificado y al CRL por HTTP? Te paree normal que no sepan ellos mimos ni lo que emiten, que no tengan dirección sobre como coño gestionan el ciclo de vida de su CA y subCAs?

Tu confias en esta gente para mantener la custodia del certificado? No se tu pero, yo en mi trabajo soy bastante más serio que esto

> ¿hacía falta pegar todo eso? podrías haberlo explicado por tu cuenta.
Si, era necesario, hay que ser riguroso. Cuando tengo una discusión técnica yo, a diferencia de la FNMT, aporto datos facilemente verificables.
#60 Sí, me he leído el bug y repito la pregunta porque si la misma gente chapucera sacase un certificado en 2018 ¿ese sí te parecería válido? Dame tu versión a ver si nos entendemos.

Los certificados no se gestionan por fnmt.es sino por httpS://www.sede.fnmt.gob.es/es/inicio a ver si va a ser gente distinta la una y la otra. No sé, yo lo dejo caer.

"te parece normal que pasen por bugzilla los links al certificado y al CRL por HTTP"

¿te crees que solo ha habido esa comunicación, que no hablaron por otro canal distinto a bugzilla?

Los datos que aportaste los podemos comprobar nosotros por nuestra cuenta, no hace falta pegar todo eso porque fíjate:

Y la fmnt sí que expone HTTPS:

$ openssl s_client -connect fnmt.es:443 -servername fnmt.es </dev/null
HTTPS/1.666 200 OK MAKEY

$ curl -sI www.fnmt.es | grep HTTP
HTTP/1.1 200 OK

Todo correcto. ¿de qué sirve que pegues eso si puedes pegar lo que quieras? eso sirve tanto como que me lo digas con palabras: "oye, que la fnmt no tiene https" y ya está.
#63> ¿Y eso que tiene que ver conque para entrar en el catastro solo tenga que clicar en el link, agregar el certificado y a correr?
Pues que meter una CA intermedia no es algo que le puedas pedir a un usuario normal y corriente y que además es incorrecto de acuerdo al RFC de TLS 1.2: tools.ietf.org/html/rfc5246#section-7.2.2

Era así también en veriones previas pero no los tengo en favoritos y paso de andar buscando.

Sobre el #62 directamente me da pereza, te lo he explicado varias veces. Si quieres entenderlo aquí está el RFC de turno, te lees la sección 5 y si lo entiendes bien y sino no te dediques a mantener una CA profesionalmente ni aunque sea interna. tools.ietf.org/html/rfc3647#section-5
#17 Lo que es completamente absurdo es hablar en ese tono de cosas que uno no sabe como funcionan...
#40 Que es precisamente lo que estás haciendo tu al asumir que no se como funcionan.
#41 Pues se agradecería una argumentación porque a mi también me parece absurdo tu comentario. Si sabes de qué hablas, se agradecería que explicases el por qué piensas eso.
#49 Encantado.

Mi comentario dice exactamente: "Es completamente absurdo tener que depender de la FNMT para validar el certificado de una página web."

Destaco el "de una página web" porque es muy relevante en este caso. Un portal web de un ministerio, en la grandisima mayoría de las ocasiones, va a accederse a través de un navegador por un usuario normal y corriente.

Por lo tanto, es absurdo que dicha página web, o por lo menos su puerta de entrada y las páginas que no requieren otro tipo de operaciones, requieran que te tengas que instalar aparte otro certificado, principalmente porque esto no está al alcance de todos y solo va a traer sustos.

¿Que luego quieren tener su propio servicio para hacer tramites varios con tu certificado personal de la FNMT o el DNIe y estos no están instalados por defecto? De lujo, pones unas instrucciones para tontos y un enlace claro al sitio que provee el servicio.

TL;DR: Una página web de un ministerio orientada al público general con información para dicho público debería poder accederse de forma segura, de primeras, con un certificado firmado por una CA instalada en los principales navegadores.
#51 No has explicado los motivos, tan solo dices que no debería ser así, dices que es absurdo que requiera que te tengas que instalar aparte otro certificado pero no explicas el por qué.

De todos modos tú no decías que el problema fuese tener que instalarlo aparte, sea de la FNMT o de Perico, tú decías que el problema es que "Es completamente absurdo tener que depender de la FNMT para validar el certificado de una página web. " Es decir, el problema es que sea de la FNMT aunque ya venga preinstalado.

No es cierto que te tengas que instalar otro certificado aparte porque el certificado raíz de la FNMT ya viene preinstalado en todos los navegadores.

El por qué lejos de ser absurdo, es recomendable, es por la independencia y seguridad del estado. España con sus certificados sin depender de ningún ente extranjero. Sacarte un certificado de una empresa extranjera es estar a expensas de que esa empresa te los revoque o falsifique. Imagínate que esa empresa fuese Symantec.
#52 De todos modos tú no decías que el problema fuese tener que instalarlo aparte, sea de la FNMT o de Perico, tú decías que el problema es que "Es completamente absurdo tener que depender de la FNMT para validar el certificado de una página web. " Es decir, el problema es que sea de la FNMT aunque ya venga preinstalado.

Es cierto que mi comentario da lugar a poder interpretarse de esa manera fuera del contexto del hilo, pero no es lo que quería transmitir. Si el certificado de la FNMT está instalado por defecto en los navegadores más populares, entonces perfecto.

Mi comentario, en el contexto del hilo, está enfocado al que pregunta a otros si tienen el certificado de la FNMT instalado. De ahí yo sobreentiendo que no viene instalado por defecto y mi comentario, y de ahí el tuyo.

menéame