Re: Fwd: Iceweasel y Firma con Certificado
El Tue, 01 Jul 2014 21:34:12 +0200, Juaqui Garzón escribió: El 01/07/14 15:47, Camaleón escribió: El Mon, 30 Jun 2014 20:43:04 +0200, Damián Naya escribió: El 30/06/14 16:17, Camaleón escribió: ¿También es necesario Java para firmar con los certificados digitales de software (los que se descargan e instalan en el navegador y no requieren tarjeta/lector de certificados)? Saludos, Sí. ¿Seguro? Porque hasta donde sé es posible firmar documentos (en PDF, por ejemplo) sin tener conexión a Internet y tampoco java. ¿No será que el requerimiento de java lo impone el administrador del servicio? Me parecería raro que los servidores web no puedan realizar operaciones de verificación de certificados dialogando directamente con el navegador del usuario sin necesidad de tener que cargar aplicaciones de terceros (como la máquina virtual de java/applets/flasplayer) más aún teniendo en cuenta la cantidad de agujeros de seguridad de la que goza el software de Oracle... Para firmar en aplicaciones web se requiere un cliente de firma, que normalmente es un activeX o un applet Java, el cliente de firma se ejecuta en el ordenador del usuario, y básicamente funciona así; (...) Entiendo que java es la opción facilona porque es multiplataforma pero con la cantidad de agujeros de seguridad que tiene la máquina virtual si estuviera al frente de un proyecto para la validación de los certificados digitales (parte cliente) yo me lo repensaba dos veces. De ahí mi pregunta de si existe alguna otra implementación que no sea en ese lenguaje de programación. De hecho, en Firefox tengo el componente de java desactivado (me lo desactivó el navegador sin preguntar) y no lo he vuelto a habilitar porque ya no me fío y eso que tengo openJava, la versión libre pero la verdad es que sólo uso java para aplicaciones locales así que no me merece la pena activarlo. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.07.03.14.12...@gmail.com
Re: Fwd: Iceweasel y Firma con Certificado
El Mon, 30 Jun 2014 20:43:04 +0200, Damián Naya escribió: El 30/06/14 16:17, Camaleón escribió: ¿También es necesario Java para firmar con los certificados digitales de software (los que se descargan e instalan en el navegador y no requieren tarjeta/lector de certificados)? Saludos, Sí. ¿Seguro? Porque hasta donde sé es posible firmar documentos (en PDF, por ejemplo) sin tener conexión a Internet y tampoco java. ¿No será que el requerimiento de java lo impone el administrador del servicio? Me parecería raro que los servidores web no puedan realizar operaciones de verificación de certificados dialogando directamente con el navegador del usuario sin necesidad de tener que cargar aplicaciones de terceros (como la máquina virtual de java/applets/flasplayer) más aún teniendo en cuenta la cantidad de agujeros de seguridad de la que goza el software de Oracle... Y en algunas páginas más quisquillosas Openjdk-7 da problemas y hay que instalar Oracle Java (por ejemplo, la web de la AEAT). Si, eso ya es más habitual (desgraciadamente), se programan las aplicaciones para una determinada versión de java y de un único fabricante, vamos, que las administraciones públicas se pasan por cierto sitio la guía de buenas prácticas en la administración electrónica y la neutralidad tecnológica ;-( Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.07.01.13.47...@gmail.com
Re: Fwd: Iceweasel y Firma con Certificado
El 01/07/14 15:47, Camaleón escribió: El Mon, 30 Jun 2014 20:43:04 +0200, Damián Naya escribió: El 30/06/14 16:17, Camaleón escribió: ¿También es necesario Java para firmar con los certificados digitales de software (los que se descargan e instalan en el navegador y no requieren tarjeta/lector de certificados)? Saludos, Sí. ¿Seguro? Porque hasta donde sé es posible firmar documentos (en PDF, por ejemplo) sin tener conexión a Internet y tampoco java. ¿No será que el requerimiento de java lo impone el administrador del servicio? Me parecería raro que los servidores web no puedan realizar operaciones de verificación de certificados dialogando directamente con el navegador del usuario sin necesidad de tener que cargar aplicaciones de terceros (como la máquina virtual de java/applets/flasplayer) más aún teniendo en cuenta la cantidad de agujeros de seguridad de la que goza el software de Oracle... Para firmar en aplicaciones web se requiere un cliente de firma, que normalmente es un activeX o un applet Java, el cliente de firma se ejecuta en el ordenador del usuario, y básicamente funciona así; el navegador envía los datos a firmar al cliente de firma y este los devuelve firmados, utilizando para ello los certificados instalados en el almacén de certificados (keystore) del navegador. La razón por la que se firma en el cliente es para evitar que la clave privada asociada a un certificado tenga que salir del contenedor del usuario ubicado en su PC. Un Saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53b30d34.20...@gmail.com
Fwd: Iceweasel y Firma con Certificado
Pues... Todo este lío es para poder FIRMAR con un certificado digital. No sólo para identificarte en una web a través de un certificado digital, que es cosa distinta. El tema de la declaración de la Renta es sólo una excusa y un ejemplo para comprobar todo este funcionamiento: - La firma se practica, por ejemplo, al confirmar el borrador de la declaración de IRPF, en el ÚLTIMO paso. - Pero para identificarte previamente y extraer tus datos fiscales, por ejemplo, o para modificar el borrador..., sólo tienes que identificarte. Y, efectivamente, la configuración por defecto de Iceweasel te permite identificarte con tu certificado, pero no FIRMAR con tu certificado. Ese era mi problema, finalmente resuelto. (Por cierto, necesitas Java seguro). La posibilidad de firma tiene otras muchas aplicaciones, obviamente, no sólo la declaración de IRPF. Por ejemplo: https://valide.redsara.es/valide/inicio.html Saludos. Damián. -- Mensaje reenviado -- De: Manolo Díaz diaz.man...@gmail.com Fecha: 30 de junio de 2014, 0:29 Asunto: Re: Iceweasel y Firma con Certificado Para: debian-user-spanish@lists.debian.org El domingo, 29 jun 2014 a las 18:57 horas (UTC+2), Camaleón escribió: El Sat, 28 Jun 2014 23:32:14 +0200, Damián Naya escribió: 3.- Este punto no sé si es preciso, pero lo he visto por Google y lo he aplicado. Como usuario root he tecleado en la Terminal: # ln -s /usr/lib/iceweasel /usr/firefox # chmod 777 /usr/firefox Es decir, he creado en la carpeta “usr” la carpeta “firefox” que es sólo un enlace hacia el directorio /usr/lib/iceweasel. Y le he dado todos los permisos a dicho directorio /usr/firefox Con el primer comando lo que haces es crear un enlace simbólico de firefox al binario de iceweasel para que cuando ejecutes firefox se inicie directamente icewasel (aunque el binario de firefox suele estar en /usr/ bin/firefox no en /usr/firefox...). Con el segundo comando lo que haces es darle permisos de lectura/ escritura/ejecución al binario (o enlace) no sé muy bien con qué finalidad. Los permisos por omisión del directorio /usr/lib/iceweasel son 755. Esta permitiendo que *todos* los usuarios puedan añadir elementos a ese directorio, cosa que antes estaba restringida a root. Y todo con la duda de que sea preciso. 6.- PREGUNTA: ¿Son precisos todos estos pasos para lograr FIRMAR con Certificado en nuestro Iceweasel? Me da la impresión de que el asunto del hilo no es exactamente el tema tratado en él, al menos yo firmo digitalmente sin tener siquiera instalado java y no he cambiado la instalación de iceweasel. Todo este lío es para usar el programa PADRE de la agencia tributaria, ¿no? Saludos. -- Manolo Díaz -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140630002941.7a53c...@gmail.com
Re: Fwd: Iceweasel y Firma con Certificado
El Mon, 30 Jun 2014 15:50:51 +0200, Damian Naya escribió: Damián, asegúrate de que cuando mandas un mensaje a la lista seleccionas el formato de texto plano en lugar de html. Otra cosa, el top-posting (escribir sobre el texto al que se responde) no se permite en esta lista, lo corrijo ;-) (...) Con el segundo comando lo que haces es darle permisos de lectura/ escritura/ejecución al binario (o enlace) no sé muy bien con qué finalidad. Los permisos por omisión del directorio /usr/lib/iceweasel son 755. Esta permitiendo que *todos* los usuarios puedan añadir elementos a ese directorio, cosa que antes estaba restringida a root. Y todo con la duda de que sea preciso. Ah, pensaba que era únicamente el binario. Si ha cambiado los permisos el directorio completo, pues tampoco le veo la finalidad además de que no deja de ser peligroso. 6.- PREGUNTA: ¿Son precisos todos estos pasos para lograr FIRMAR con Certificado en nuestro Iceweasel? Me da la impresión de que el asunto del hilo no es exactamente el tema tratado en él, al menos yo firmo digitalmente sin tener siquiera instalado java y no he cambiado la instalación de iceweasel. Todo este lío es para usar el programa PADRE de la agencia tributaria, ¿no? Pues... Todo este lío es para poder FIRMAR con un certificado digital. No sólo para identificarte en una web a través de un certificado digital, que es cosa distinta. (...) Ese era mi problema, finalmente resuelto. (Por cierto, necesitas Java seguro). (...) ¿También es necesario Java para firmar con los certificados digitales de software (los que se descargan e instalan en el navegador y no requieren tarjeta/lector de certificados)? Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.30.14.17...@gmail.com
Re: Fwd: Iceweasel y Firma con Certificado
El 30/06/14 16:17, Camaleón escribió: ¿También es necesario Java para firmar con los certificados digitales de software (los que se descargan e instalan en el navegador y no requieren tarjeta/lector de certificados)? Saludos, Sí. Y en algunas páginas más quisquillosas Openjdk-7 da problemas y hay que instalar Oracle Java (por ejemplo, la web de la AEAT). Saludos. Damián. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53b1afb8.2040...@gmail.com
Re: Fwd: Re: Iceweasel y Firma con Certificado
El Sat, 28 Jun 2014 23:32:14 +0200, Damián Naya escribió: Bueno pues... Tras mucho indagar y haber logrado la solución, os comento la manera de poder FIRMAR con Certificado digital en el navegador Iceweasel. Allá voy... PASOS para FIRMAR con Certificado de la FNMT en Iceweasel: (...) 3.- Este punto no sé si es preciso, pero lo he visto por Google y lo he aplicado. Como usuario root he tecleado en la Terminal: # ln -s /usr/lib/iceweasel /usr/firefox # chmod 777 /usr/firefox Es decir, he creado en la carpeta “usr” la carpeta “firefox” que es sólo un enlace hacia el directorio /usr/lib/iceweasel. Y le he dado todos los permisos a dicho directorio /usr/firefox Con el primer comando lo que haces es crear un enlace simbólico de firefox al binario de iceweasel para que cuando ejecutes firefox se inicie directamente icewasel (aunque el binario de firefox suele estar en /usr/ bin/firefox no en /usr/firefox...). Con el segundo comando lo que haces es darle permisos de lectura/ escritura/ejecución al binario (o enlace) no sé muy bien con qué finalidad. (...) Pues bien, yo lo que he hecho, a partir de esta información, ha sido lo siguiente: He entrado al directorio /usr/lib , he localizado la carpeta “xulrunner-24.0” y he creado un enlace (selecciono “xulrunner-24.0”, botón derecho y opción crear enlace). He cogido este enlace, me lo he llevado y lo he ubicado en el directorio /opt . En este directorio he borrado la carpeta “firefox” (vacía), y la carpeta “Enlace hacia xulrunner-24.0” que acabo de llevar allí (a /opt) la he renombrado y la he llamado “firefox”. A continuación, le he dado todos los permisos a /opt/firefox con el comando # chmod 777 /opt/firefox 5.- COMPROBACIÓN. Voy a la página https://valide.redsara.es/valide/inicio.html Y en la opción Validar Certificado, ya me presenta los certificados disponibles en mi Iceweasel (antes no se abría el almacén de certificados de Icewesasel). O en la opción Realizar Firma, ya puedo firmar un documento (antes daba error). 6.- PREGUNTA: ¿Son precisos todos estos pasos para lograr FIRMAR con Certificado en nuestro Iceweasel? (...) Hum... pues yo te diría que al menos el baile de xulrunner y el cambio de los permisos, no. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.29.16.57...@gmail.com
Re: Iceweasel y Firma con Certificado
El domingo, 29 jun 2014 a las 18:57 horas (UTC+2), Camaleón escribió: El Sat, 28 Jun 2014 23:32:14 +0200, Damián Naya escribió: 3.- Este punto no sé si es preciso, pero lo he visto por Google y lo he aplicado. Como usuario root he tecleado en la Terminal: # ln -s /usr/lib/iceweasel /usr/firefox # chmod 777 /usr/firefox Es decir, he creado en la carpeta “usr” la carpeta “firefox” que es sólo un enlace hacia el directorio /usr/lib/iceweasel. Y le he dado todos los permisos a dicho directorio /usr/firefox Con el primer comando lo que haces es crear un enlace simbólico de firefox al binario de iceweasel para que cuando ejecutes firefox se inicie directamente icewasel (aunque el binario de firefox suele estar en /usr/ bin/firefox no en /usr/firefox...). Con el segundo comando lo que haces es darle permisos de lectura/ escritura/ejecución al binario (o enlace) no sé muy bien con qué finalidad. Los permisos por omisión del directorio /usr/lib/iceweasel son 755. Esta permitiendo que *todos* los usuarios puedan añadir elementos a ese directorio, cosa que antes estaba restringida a root. Y todo con la duda de que sea preciso. 6.- PREGUNTA: ¿Son precisos todos estos pasos para lograr FIRMAR con Certificado en nuestro Iceweasel? Me da la impresión de que el asunto del hilo no es exactamente el tema tratado en él, al menos yo firmo digitalmente sin tener siquiera instalado java y no he cambiado la instalación de iceweasel. Todo este lío es para usar el programa PADRE de la agencia tributaria, ¿no? Saludos. -- Manolo Díaz -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140630002941.7a53c...@gmail.com
Fwd: Re: Iceweasel y Firma con Certificado
Bueno pues... Tras mucho indagar y haber logrado la solución, os comento la manera de poder FIRMAR con Certificado digital en el navegador Iceweasel. Allá voy... PASOS para FIRMAR con Certificado de la FNMT en Iceweasel: 1.- He instalado la versión de Java de Oracle, habiendo desinstalado previamente la versión libre openjdk-7. Así lo recomienda AEAT en las Instrucciones del Programa Padre. 2.- De acuerdo con una respuesta del CAU de la AEAT, localizada en Google, reproduzco la configuración recomendada para Firefox (en nuestro caso, Iceweasel): 2.a.- La preferencia signed applets codebase principal support debe estar activada en el valor true. Escriba about:config (sin comillas y sin http o www. delante) en la barra de direcciones donde escribe habitualmente las direcciones de las páginas web. Pulse la tecla Intro en el teclado; en función de la versión del navegador que tenga instalada, puede mostrarse un mensaje de advertencia que deberá aceptar para continuar. Se mostrará una página con un listado de preferencias en la parte inferior. Sobre éste aparecerá una línea en blanco con el nombre Filtro. En este campo escriba la palabra signed (también sin comillas) y pulse Intro en el teclado de nuevo. La lista habrá quedado reducida a una sola preferencia (signed.applets.codebase_principal_support). A la derecha, debajo de la columna Valor aparecerá false o true. Asegúrese de que el valor está en true y si aparece false haga doble clic sobre la línea para que el valor cambie a true, que es el correcto. 2.b.- Para acceder a la Sede es necesario que descargue e instale los certificados electrónicos que la identifican (AC RAIZ FNMT-RCM y AC APE). Esta instalación se realiza desde el apartado Información y Requisitos de la nueva Sede Electrónica disponible en la Ayuda en línea de la página web de la AEAT. En Firefox es necesario que las tres casillas de la configuración de confianza de los 2 certificados FNMT-RCM están marcadas. Dentro de la pestaña Autoridades (en Edición, Preferencias, Avanzado, Cifrado, Ver certificados), seleccione el certificado AC APE y el AC RAIZ FNMT-RCM, haga clic en Editar confianza... y active las tres casillas. 2.c.- Para la realización de trámites electrónicos que requieran su identificación es necesario disponer de certificado electrónico. Si usa un certificado electrónico de la FNMT, debe tener instalado en el navegador el certificado raíz de la FNMT Clase 2CA. Para la FNMT la descarga del certificado raíz está disponible en la página web de CERES (Certificación Española), dentro de la opción de obtención del certificado, entre las opciones en verde de la columna de la izquierda, dentro del apartado Descarga de contratos. Guarde el archivo descargado (por ejemplo en el Escritorio) para importarlo después desde Edición, Preferencias, en el menú de la parte superior; Avanzado, Cifrado, Ver certificados, Autoridades. Recuerde marcar las tres casillas que aparecen cuando lo selecciona pulsando el botón Editar. 3.- Este punto no sé si es preciso, pero lo he visto por Google y lo he aplicado. Como usuario root he tecleado en la Terminal: # ln -s /usr/lib/iceweasel /usr/firefox # chmod 777 /usr/firefox Es decir, he creado en la carpeta “usr” la carpeta “firefox” que es sólo un enlace hacia el directorio /usr/lib/iceweasel. Y le he dado todos los permisos a dicho directorio /usr/firefox 4.- Reproduzco a continuación el correo de un compañero que ha sido decisivo en la solución del problema: “Hola Damián, He visto el mensaje que has enviado a la lista de correo debian-user-spanish. Como no estoy suscrito a la lista no puedo contestar en ella, por eso te envío la respuesta personalmente a tí. Sería un detalle que enviases esta respuesta a la lista para que otros con el mismo problema que tú puedan ver la solución. Solución: Las herramientas de la AEAT asumen determinadas cosas que en nuestro sistema Debian no se cumplen. En concreto, aparece el siguiente error: Error type: es.gob.afirma.keystores.main.common.AOKeystoreAlternativeException Error message: Error al inicializar el almacen NSS unificado de Mozilla Firefox: es.gob.afirma.keystores.main.common.AOKeyStoreManagerException: No se ha podido inicializar ningun almacen, interno o externo, de Firefox El problema parece que se encuentra en: package es.mityc.javasign.pkstore.mozilla; private static String getSystemNSSLibDirUnix() Este método busca las rutas de las bibliotecas libsoftokn3.so y libnspr4.so en varios directorios. Sin embargo, en Debian wheezy (arquitectura i386) estas bibliotecas se encuentran en distintos lugares: - el paquete libnss3:i386 instala /usr/lib/i386-linux-gnu/nss/libsoftokn3.so - el paquete libnspr4:i386 instala /usr/lib/i386-linux-gnu/libnspr4.so - el paquete xulrunner-24.0 instala ambas bibliotecas en el directorio /usr/lib/xulrunner-24.0 Puesto que iceweasel
Re: Iceweasel y Firma con Certificado
El Thu, 26 Jun 2014 23:29:56 +0200, Damián Naya escribió: Buenas noches. Buenas... Acuérdate de desactivar el formato html para los correos que mandes a la lista ;-) Llevo unos dos meses usando Debian y, salvando los primeros escollos, estoy encantado. Pero me he topado con un problema que no he logrado solucionar: Uso Iceweasel como navegador. Tengo correctamente instalado mi certificado de firma digital de la FNMT, pues me identifico sin problemas en distintas páginas web. Tengo instalado correctamente y comprobado Oracle Java 7 (ya evité problemas desinstalando la versión libre e instalando esta). Pero a la hora de FIRMAR un documento, o una declaración de IRPF en la AEAT, me sale un mensaje ...Error al inicializar el almacen NSS unificado de Mozilla... Hummm... https://www.google.com/webhp?complete=0hl=engws_rd=ssl#complete=0hl=enq=Error+al+inicializar+el+almacen+NSS+unificado+de+Mozilla Como si Java no pudiera abrir el almacén de certificados de Iceweasel. ¿Alguien me puede ayudar? Parece un mensaje muy común, yo rebuscaría en los enlaces que devuelve Google. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.27.13.35...@gmail.com
Iceweasel y Firma con Certificado
Buenas noches. Llevo unos dos meses usando Debian y, salvando los primeros escollos, estoy encantado. Pero me he topado con un problema que no he logrado solucionar: Uso Iceweasel como navegador. Tengo correctamente instalado mi certificado de firma digital de la FNMT, pues me identifico sin problemas en distintas páginas web. Tengo instalado correctamente y comprobado Oracle Java 7 (ya evité problemas desinstalando la versión libre e instalando esta). Pero a la hora de FIRMAR un documento, o una declaración de IRPF en la AEAT, me sale un mensaje ...Error al inicializar el almacen NSS unificado de Mozilla... Como si Java no pudiera abrir el almacén de certificados de Iceweasel. ¿Alguien me puede ayudar? Gracias.
Re: Iceweasel y Firma con Certificado
El día 26 de junio de 2014, 23:29, Damián Naya damiannay...@gmail.com escribió: Buenas noches. Llevo unos dos meses usando Debian y, salvando los primeros escollos, estoy encantado. Pero me he topado con un problema que no he logrado solucionar: Uso Iceweasel como navegador. Tengo correctamente instalado mi certificado de firma digital de la FNMT, pues me identifico sin problemas en distintas páginas web. Tengo instalado correctamente y comprobado Oracle Java 7 (ya evité problemas desinstalando la versión libre e instalando esta). Pero a la hora de FIRMAR un documento, o una declaración de IRPF en la AEAT, me sale un mensaje ...Error al inicializar el almacen NSS unificado de Mozilla... Como si Java no pudiera abrir el almacén de certificados de Iceweasel. ¿Alguien me puede ayudar? Gracias. Yo para presentar la declaración de la renta tuve que instalar el java de Oracle y la última versión de Firefox, la de Debian no valía. S2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAGw=rhjzg7jvrgqcx9hzur8rh9njk6brjt8thqet5kzk7km...@mail.gmail.com