Barrapunto

todavía es beta, seguí probando. xD

Ya existe un informe de error sobre el olvido del certificado raíz de la FNMT. Será solucionado en breve. Ver Bug 435736 [mozilla.org].

El error se puede saltar haciendo que Firefox añada una excepción de seguridad (aparece un enlace para hacerlo cada vez que aparece ese mensaje de error). Para que reconozca los certificados de la CNMT, hay que descargar el certificado raíz [cert.fnmt.es] e importarlo en el apartado de las opciones Avanzado -> Cifrado -> Ver certificados -> Autoridades.

Cuando intento acceder a la página de login en Barrapunto para identificarme con Mozilla Firefox 3.0 me da el siguiente mensaje:

Entonces si quiero que este mensaje deje de aparecer debo añadir la url del login como excepción, una vez añadida ya me puedo identificar en Barrapunto.

Lo siento, creo que lo que afirmas no es cierto y es mas injusto que otra cosa.

Ahora lo que hace Firefox es lo mismo que hace Internet Explorer, mostrar una página de error (que realmente es lo que es) e indicando creo que mas claramente cual es el motivo por el cual se ha generado el error (que no coincide el nombre con el CN del certificado, que esta caducado, que no se confia en la entidad raiz etc)

Antes tampoco reconocia ni la FNMT ni Camerfirma ni cuarentamil otras entidades certificadoras, lo cual no es ninguna novedad.

Si como dicen mas arriba, se va a añadir a la FNMT perfecto, bien por ellos, pero me parece que esta queja es mas bien una rabieta porque ahora no sale un popup (con todo el respeto) y permite ignorar el mensaje (sigue permitiendolo pero tienes que añadir una excepcion). Para mi ha mejorado, y bastante.

La falta de certificados raíz concretos no es un fallo de Firefox sino de empaquetamiento a la hora de hacer los binarios.

No conozco los acuerdos, pero si no me equivoco, los certificados incorporados responden a conversaciones entre autoridades certificadoras y fabricantes de navegadores. Si estas no se han producido, no estarán (ni Mozilla tiene que conocer a todas las CA del mundo, ni todas las administraciones se preocuparán de incorporar sus certificados en Firefox).

Por otro lado, la gestión de SSL me parece muy buena (es más estricta que en IE), y por ello desaconsejo confirmar todos los fallos SSL que aparezcan como excepciones, ya que entonces nos acostumbraremos a aceptar certificados inválidos.

Que me he encontrado a gente quejándose de que el navegador no les dejaba hacer operaciones, cuando en realidad no estaban comprendiendo las implicaciones del error que el navegador les estaba mostrando.

Firefox apenas reconoce a entidades emisoras de certificados SSL: Verisign, creo que a Thawte y para de contar: los certificados de la FNMT (la certificadora española oficial) se rechazan, los de CAcert (de las pocas que yo sepa que emite certificados gratuitos, si logras demostrar que un sitio es tuyo), también... concluyendo: o pagas más o menos $1000 al año o no podrás usar SSL en tu sitio web.

Con perdón, pero el que tengas o que haya un problema es una cosa y que a partir de ahí saques una sarta de chorradas como conclusión pues es otra cosa.

En http://hecker.org/mozilla/ca-certificate-list/ [hecker.org] puedes ver un listado que hace un par de años que no se actualiza pero es muy ilustrativo. Y no es por hacer publicidad, pero una empresa bastante conocida como es GoDaddy está en la lista y sus certifiados SSL más baratos andan por los 30 USD, que es casi casi lo mismo que 1000, ¿verdad?

Ahora bien, recomiendo la lectura de los enlaces que pongo a continuación. Cuando los leáis, mirad las fechas de cuando son.

http://hecker.org/mozilla/ca-certificate-faq/backg round-info/ [hecker.org]

http://hecker.org/mozilla/ca-certificate-metapolic y/ [hecker.org]

http://hecker.org/mozilla/cert-policy-approved/ [hecker.org]

http://hecker.org/mozilla/business-of-cas/ [hecker.org]

http://www.mozilla.org/projects/security/certs/pol icy/ [mozilla.org]

Y como complementos:

http://wiki.mozilla.org/Security:EV/ [mozilla.org]

http://blog.johnath.com/index.php/2007/10/11/todo- break-internet// [johnath.com]

http://blog.johnath.com/index.php/2007/03/13/revis iting-security-ui-part-1-of-2/ [johnath.com]

http://blog.johnath.com/index.php/2007/03/21/revis iting-security-ui-part-2/ [johnath.com]

¡Vaya mierda el Firefós ese! ¡Pero si la seguridad es un asunto muy sencillo! ¿Verdad? ¡Pues qué vagos son los cuatro gatos del Morzilla! Además, como no no sacaron ninguna beta [mozilla.org] nadie se enteró del estropicio este que han montado. Seguro que es porque Verisign les ha pagado para que sólo salgan bien sus certificados y la gente pase por el aro de los 1000 dólares.

hasta ahora los avisos eran neutrales, si no se reconoce la CA que firma el certificado avisa si qioeres continuar o no. eso es la forma correcta y neutral de hacerlo. ahora ha cambiado: si eres uno de los que no pagan a la mafia ssl y creas tus propios certificados, apareces como un sitio probablemente fraudulento, del que no debes fiarte, y al que si quieres conectarte debes añadir su certificado a una lista negra avisandote de que ningun sitio serio va a pedir que haga eso y que probablemente te vas a meter en problemas si lo haces. firefox acaba de darle una patada a la neutralidad y ha dejado a muchisimos sitios web "al margen de la ley" de un plumazo

A ver... vamos a aclarar una cosa: EL VERDADERO PROBLEMA DE FIREFOX 3 ES QUE SI A UN USUARIO NOVEL LE APARECE EL ERROR DE SSL VA A PENSAR QUE NO PUEDE ENTRAR EN LA PÁGINA: así de sencillo. Incluso un usuario medio va a quedarse medio cruzado, y por si fuera poco eso, un porcentaje muy importante de usuarios jamas lograrán añadir la excepción y entrar en el sitio. Esto último es lo que realmente me preocupa... QUIEREN ENTRAR PERO NO PUEDEN... eso ya es coartar la libertad ¿no?

Ese es el cambio respecto a Firefox 2: en Firefox 2 era poco más que darle a aceptar y listo. De hecho me parecería mucho más interesante que hubieran aplicado el sistema del Firefox 2 para cuando un sitio web era sospechoso de phishing: si no me falla la memoria cubrían el sitio de negro-transparente y aparecía un aviso arriba informando CLARAMENTE, de tal manera que ofrecía salir de él o seguir navegando. Era efectivo y comedido: si cualquier novato hubiera querido seguir navegando, hubiera podido... aunque no creo que lo hiciera, porque el aviso estaba clarito.

EL PROBLEMA ES QUE EL NUEVO SISTEMA NO INFORMA: OBSTACULIZA... y se diga lo que se diga, ante estas situaciones no se debe obstaculizar más de lo necesario, al fin y al cabo hay que contar con que el 99'99999% de las veces esté todo bien y el sitio simplemente use el certificado firmado por si mismo para ofrecer encriptación (no firmar el sitio).

Esto ya podría dar para otro POST, puesto que sé que hay mucho que defiende que la seguridad es muy importante, pero NO HAY QUE OLVIDAR QUE LA SEGURIDAD ESTÁ AL SERVICIO DEL USUARIO ¡¡¡Y NO AL REVÉS!!!

Además no os olvidéis de CAcert... aunque aprobarán la FNMT, eso resolvería sólo parte del problema; si no aprueban algún certificador gratuito, deberían crear ellos mismos un método de certificación gratuita, ya que esto resolvería todos los problemas... incluso podrían mostrar un gráfico de que la certificación de esta página es más o menos confiable... pero informando, no "obstaculizando".

Además, tal como reza alguna de las páginas que puse de referencia, el problema viene de que al usar SSL se incorpora automáticamente la firma del sitio, por lo que el certificado demuestra que la página a la que estás entrando es realmente auténtica, o sea, que por un lado firma la página y por otro la cifra, cuando la mayoría de las páginas usan el SSL sólo para encriptación.

Y ese es realmente el origen de todo este problema, que a mi me parece un fallo MUY MUY GORDO del SSL, es el no poder admitir certificados que sólo cifren las páginas y no las firmen... y esa es la causa de todo este follón.

Sería un cachondeo que el usar o no el Firefox 3 hiciera que la mafia, digo, la empresa de la certificación mejorara sus números gracias a ello (me ha hecho mucha gracia lo de mafia que usan en algún comentario previo: no son una mafia, pero casi: la mafia la constituyen los navegadores+las certificadoras; yo mañana puedo hacer un navegador que acepte a todos los certificadores que me de la gana xDDDD). ESO SÍ, TAMPOCO DESCARTO QUE TODO ESTE PROBLEMA SEA POR UN DESCUIDO O MAL DISEÑO INCOSCIENTE POR PARTE DE LA GENTE DE MOZILLA (aunque lo dudo).

Y no debéis olvidar que el Firefox, por muy buen o mal navegador que sea, no está hecho por unos benefactores, sino por gentes que quieren ganar su dinero... y no digo que de paso si mejoran un poco nuestra vida, pues mejor, pero me da que ese no es su principal fin.

Eso sí: también diré una cosa para todos aquellos que se dedicaron a hablar mal del software libre: si no me gusta el Firefox, al ser código abierto, sé que lo puedo cambiar e incluir los certificadores que me de la gana en él. Ya no sé c

En esta entrada de blog se indica paso a paso cómo instalar el certificado raíz de la FNMT [blogspot.com].

He estado haciendo pruebas con páginas que utilizan certificados de la FNMT-RCM y de la ACCV, y funciona perfectamente.
También he probado con certificados generados por mí con opnessl, y sin problemas.
Obviamente, primero hay que importar el certificado raíz de la CA.

Hombre, si quieres instalar Firefox 2 lo puedes descargar de aquí, que no es que esté escondido precisamente:
http://www.mozilla.com/en-US/firefox/all-older.htm l [mozilla.com]

¡¡¡¡Pulsando un botón!!!!

Tienes que hacer 4 clics en los lugares correctos para poder ver el sitio xDDDDDD

:O 2 clics no, 4. El navegador no lo hacía automáticamente, te salía un diálogo informando.

Un certificado no es mejor o peor por valer 1000 USD. Si para ti la "calidad" de un certificado es si el navegador traga o no, te diré que por 30 USD al año tengo certificados que no dan ningún problema en ningún navegador.