lunes, 25 de abril de 2011

Firefox 4: errores con DNIe y otros certificados digitales


Como a más de uno le habrá pasado, al instalar la última versión de Firefox (la 4), tuve la desagradable sorpresa de que mi DNIe, que funcionaba perfectamente, dejó de funcionar al entrar en las webs de algunos bancos y ciertos certificados digitales tampoco me funcionaban. Curiosamente no fallaba al entrar en la web de la agencia tributaria.

El error que daba Firefox4 en ambos casos era el mismo, tanto para dichos certificados como para el DNIe.


Este error se debe a que una de las líneas de las preferencias de Firefox viene cambiada en esta versión, no se si por error o por cambio de política, (Actualización por sugerencia de @tractis: Se debe a un cambio de política debido a una vulnerabilidad detectada en páginas SSL) la cuestión es que basta con cambiar lo siguiente y funcionará como antes sin problemas:

Para quien no separa como cambiar los parámetros internos de configuración de Firefox diremos que hay que poner en la barra de direcciones lo siguiente:

about:config

De este modo nos aparecerá una lista de parámetros de configuración bastante larga. Para seleccionar la línea que buscamos es recomendable introducir en la casilla "Filtro" lo siguiente:

security.ssl.allow

Nos aparecerá la línea con la preferencia de configuración:

security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref

En la columna valor veremos que pone "false" para cambiarlo por "true" basta con hacer doble clic en dicho valor y ya está.

(Actualización por sugerencia de @tractis: Tal y como Alfonso de The New Territory explica en su blog la solución descrita unas línas más arriba deja sin resolver la vulnerabilidad comentada anteriormete y tenemos que tener en cuenta que si la llevamos a cabo mantendremos dicha vulnerabilidad para todas las páginas SSL. Lo que él recomienda es incluir sólo las páginas que son de confianza en una lista de excluidos y no modifiquemos la línea que yo apunté)

Eso lo podemos hacer en la línea:

security.ssl.renego_unrestricted_hosts y en el valor introducimos cada dominio se parado por comas: (ej. cam.es,cajamar.es)

A partir de ese momento nuestros certificados y DNIe funcionará igual que antes.

10 comentarios:

  1. Si es que no te puedes fiar de nadie ya

    ResponderEliminar
  2. Que sí, Leandro, que sí que puedes... a los chicos de Mozilla le damos este crédito y mucho más... se lo han ganado a pulso durante mucho tiempo

    ResponderEliminar
  3. Muchas gracias, me ha funcionado en el banco.

    ResponderEliminar
  4. Gracias por la info, me ha funcionado la primera solución, lo de la excepción no me funciona (en mi caso "cam.es")

    ResponderEliminar
  5. Estimado Ricardo: en primer lugar, gracias a tí por participar con tu comentario. En cuanto a lo de la CAM el host que hay que poner es seguro.cam.es y así sí funciona. Saludos

    ResponderEliminar
  6. Buenas: con Firefox 5 sigue sin funcionarme mi DNIe ya que al instalar el Nuevo Módulo Criptográfico
    para el DNIe Firefox no lo admite y no puedo usar mi DNIe...
    ¿Alguna ayuda? Por favor

    ResponderEliminar
  7. Hola Anónimo:
    Este post hace referencia a un error que se produce al actualizar Firefox, partiendo siempre de la base que el DNIe te funcionaba antes de la actualización y te sigue funcionando después. Sólo hablo en él del problema derivado de la política de uso de los certificados no de la configuración del módulo criptográfico ni de cómo instalar el DNIe. Quizás puedas obtener más información en la dirección http://www.dnielectronico.es Esta dirección es del Ministerio del Interior y es muy completa.
    Espero que te sea de ayuda.
    Saludos.

    ResponderEliminar
  8. Eres un crack.
    La segunda opción me gusta mucho. Directo a mis MARCADORES (esta página) porque seguro que en más ocasiones la voy a necesitar.
    GRACIAS.

    ResponderEliminar
  9. Soy de Venezuela, y con esta solución pude volver a disfrutar de mis certificados.
    Gracias por este aporte.

    ResponderEliminar
  10. Buenos días, a mi no me aparece esa secuencia y no se como hacer para que me funcione

    ResponderEliminar