extended extended extended extended… validation certificate

Estaba yo navegando por unas cuantas paginas, metiendo comillas, mirando codigo HTML, buscando subdominios con Google… cuando me he topado con la pagina de eTendering de Londres 2012 y esta era la pinta que tenia la barra de direcciones de mi navegador:

Quizas hayais visto alguna vez este nuevo añadido de Firefox 3 que ya incluia Internet Explorer 7 y que permite a las compañias solicitar un certificado extendido (Extended Validation Certificate) con su nombre y datos, que hacen que nuestra barra de direcciones cobre “color” y nos sintamos mas seguros. Podeis ver algunos ejemplos en las paginas de Verisign o las de login de Live.com.

En los ejemplos anteriores solo pone el nombre de la compañia (y corto), pero es que a los de Londres 2012 se les ha ido la pinza y han metido todo el chorizaco de nombre de empresa registrado, dejandome sin barra de navegacion a la vista (¿Y ahora como meto yo una comilla?)

Ya curioso me he abierto la misma pagina en los otros navegadores que tengo instalados, Internet Explorer 8 Beta 2 y Google Chrome 2 Beta y este ha sido el resultado (Todas las capturas estan hechas en una ventana maximizada en una resolucion de 1280×800):

Se agradece la opcion de Internet Explorer 8 Beta 2 de definir un tamaño maximo para el nombre de la empresa certificada, pues para mi la barra de direcciones es lo mas sagrado del navegador. Tiron de orejas para Chrome que ademas de ocuparme casi media barra de direcciones con el nombre, no proporciona un elemento claro donde hacer clic y comprobar el resto de informacion del certificado, al menos en Firefox 3 y Internet Explorer la zona se ilumina para indicar que es un elemento interactivo.

Certificados, confianza y Firefox

Una de las cosas mas importantes cuando navegamos por internet es el poder navegar de manera segura y confiable por paginas en las que podamos depositar nuestra confianza. ¿Y como se hace esto? Mediante certificados firmados por entidades raices de confianza, o lo que es lo mismo, gente en la que confiamos para confiar en gente.

Ayer mientras navegaba desde Windows Vista/IE7 por una pagina del Gobierno de España estuve pasando de pagina cifrada a pagina sin cifrar sin que el navegador me diese ninguna alerta acerca del certificado digital que se estaba usando para cifrar las conexiones. Sin embargo, esta mañana, desde Ubuntu/Firefox si que he recibido una alerta acerca de que no se confiaba en el certificado. ¡Alerta! ¿Que ocurre aqui? Revisando el certificado me encuentro con esto:

A ver quien ha firmado este certificado…

¡Anda! Si es la Fabrica Nacional de Moneda y Timbre… Oh… wait! ¿Firefox en Ubuntu no confia por defecto en la entidad certificadora mas importante de España? ¿Y si alguien quiere, no se, entrar en CUALQUIER pagina de la administracion publica y no sabe como añadir un certificado raiz? Veamos en quien confia el Firefox…

Como se puede observar en la barra de desplazamiento vertical, hay muchas mas de las que aqui se muestran, incluyendo a las populares y mundialmente conocidas como Verisign, Thawte, Swisscom o… ¡Informatica64CA! Si amigos, mi Firefox confía mas en Informática 64 que en la Fabrica Nacional de Moneda y Timbre.

Para hacer mas pruebas arranco de nuevo el ordenador, esta vez en Windows Vista y me dirijo a la pagina cifrada con Firefox para volver a encontrarme el mismo mensaje de error! “No se confia en la entidad certificadora raiz”. Vaya, parece que no va a ser solo problema de GNU/Linux, si no que tambien va a tener su parte de culpa Firefox, con lo bien que me caia…

Al final solo nos quedan dos soluciones:

• Establecer una excepcion para cada sitio que visitemos con Firefox, confiando en el certificado que se nos presenta y esperando que no sea una falsificacion colocada ahi por algun programa de Man In The Middle
• Abrir nuestro IE, ir a la lista de certificados (Herramientas/Opciones de Internet/Contenido/Certificados), comprobar que existe la confianza en la FNMT y exportar el certificado. Posteriormente importarlo en Firefox para que nuestros dos navegadores confien en la entidad certificadora de la Fabrica Nacional de Moneda y Timbre.

Hay una tercera opcion, pero quizas sea algo mas tediosa y complicada, que es la de solicitar este mismo certificado a la FNMT e instalarlo en nuestro equipo, aunque con las recomendaciones de seguridad para instalar los certificados en Windows Vista/IE 7 que dan no se si hacerlo…

En fin… Que bien que estoy con mi DNI de plastico y sin chips, sin lios de certificados ni nada… ¿verdad?