Firefox y el certificado de la FNMT, una historia de amor-odio

TL;DR El certificado raíz de la FNMT está ya disponible en Firefox, así que los posibles errores de «Conexión no segura» que se producían en muchas webs de organismos oficiales en España ya no saldrán más \o/

Os voy a contar una historia de amor, odio, desencanto, olvido, reconciliación y boda. Es la historia de Firefox y el certificado raíz de la FNMT.

Esta historia tiene estos dos protagonistas. Es posible que a Firefox ya lo conozcáis: un navegador de internet rápido, fiable, abierto, transparente y que respeta tu privacidad por encima de todo. Además, altamente personalizable y extendible, por lo que si no te gustaba su pelo moreno, le podías teñir de rubio, y si no te gustaba que hablara de anuncios cada vez que entraras en una web, podías decirle que los bloqueara, enseñándole conocimientos, mediante una extensión.

El otro actor de esta historia de amor es la FNMT, la Fábrica Nacional de Moneda y Timbre que, según la Wikipedia, se dedica a cosas tan importantes como la «fabricación de monedas, billetes, papel moneda, timbres, documentos oficiales y prestador de servicios de certificación.» Casi nada.

Como comprenderéis, a Firefox no le interesa ni las monedas, ni los billetes, ni los timbres ni los documentos oficiales, pero como navegador que es, sí le interesan mucho los servicios de certificación, en especial los digitales.

Certificados digitales

Pero, dirás, ¿qué es eso de «servicios de certificación»? Pues según Microsoft: «es una tecnología de seguridad de identidad y control de acceso que proporciona servicios personalizables para crear y administrar certificados de clave pública utilizados en sistemas de seguridad de software que emplean tecnologías de claves públicas.» En un español que entendamos todos, un proceso para certificar que una web (o correo, o identidad) es quien dice ser, mediante verificaciones.

Y lo importante para este amor entre Firefox y la FNMT viene por esta última parte, ya que los organismos oficiales del gobierno español, utilizan certificados de la FNMT para verificar que son ellos los que te están prestando servicios, y que cuando entren los usuarios en dichas webs, vean que es una autoridad pública española la que dice que son lo que son, y que la transmisión de datos se realiza de forma segura habiendo pasado los requisitos que tiene la FNMT para certificarlas como tal.

Si aún no entiendes bien esto de los certificados, piensa en un ejemplo que vemos en el día a día, como el DNI o el pasaporte. Una autoridad de certificación, la Policía, certifica que tú eres tú a través de una tarjeta de identidad, que tiene unas medidas de seguridad especiales y que sólo se expide mediante una serie de comprobaciones iniciales (por ejemplo la partida de nacimiento) y renovación vía otras comprobaciones (fotografía, comprobación de datos del censo, huellas dactilares…) ¿Os imagináis que cualquier pudiera expedir un DNI? Yo en vez de Guillermo López podría ser Recesvinto Martínez, expedido por mi mismo, pero claro, ¿eso qué validez tendría?

Es por eso que el gobierno utiliza la FNMT: si hace billetes, monedas, timbres y demás cosas oficiales y muy importantes, ¿por qué no hacer también certificados digitales? Nos fiamos de una entidad pública que ha estado funcionando por más de 120 años, y que tiene un control estatal.

Así pues, todos en España hemos aceptado que la Policía es una autoridad de certificación válida para expedir DNI (porque confiamos en la policía y porque hay leyes que dicen que sólo ellos pueden expedirlos), pero… ¿os imagináis qué pasaría si en el extranjero no los aceptan? ¿cómo podríamos tener un documento que certifica nuestra identidad de forma mundial y en el que todos confíen? Aquí tenemos varias opciones:

1. No hacer nada, viajar con nuestro DNI sólo aceptado en España, y que en cualquier momento nos puedan echar de un país porque igual no somos quien decimos que somos.
2. Conseguir un documento de identidad para cada país que visitamos, que hemos de tramitar con la autoridad certificadora de cada país (la policía, por ejemplo) para que certifiquen que nosotros somos quienes lo solicitamos.
3. Que haya un organismo internacional (o un acuerdo entre ellos) que acepten las diferentes autoridades certificadoras, y que si voy a Francia, los gendarmes puedan ver que mi DNI es válido porque está expedido por la Policía española.

Por lógica la mejor opción es la tercera: poder viajar con un DNI (en el caso de Europa / Schengen) o con un pasaporte, porque el resto de los países del mundo saben (mediante acuerdos) que un documento expedido por la policía española es confiable y del que se pueden fiar para comprobar la identidad.

Si volvemos al mundo digital, funciona de una manera parecida, ya que los navegadores (Firefox, Chrome, Explorer), aceptan autoridades certificadoras (la Policía en el mundo real), que tienen certificados raíz, elementos matemáticos que permiten pasar un certificado (DNI en la vida real) y que nos diga… «ok, sí, este certificado (DNI) lo he expedido yo, y es válido».

Si los navegadores tienen dichos certificados raíz, cuando una web nos presenta una identidad que está firmada por ellos, lo verifican en nuestro navegador y dicen: «ey, esto es correcto, adelante».

A partir de ese momento, sabemos que la web es segura y está certificada por una autoridad reconocida internacionalmente, en concreto por los navegadores. Es lo que ahora pasa con la FNMT: Firefox (Mozilla, concretamente) ha aceptado que cumple con sus estándares de seguridad, que tiene una auditoría que está al día y sin fallos, y acepta que dicha entidad expide dichos certificados de una forma correcta y segura, siguiendo un protocolo, para verificar que las webs son correctas. (En el mundo real, el equivalente sería el protocolo que sigue la Policía para darte/renovar tu DNI)

¿Qué hacer con el certificado?

A partir de Firefox 51, ya en la web para todo el mundo, el certificado estará disponible, por lo que ya no verás más problemas con las webs gubernamentales españolas que usen este certificado. Podrás entrar directamente, y puedes comprobar que está verificado por ellos:

La cronología

1. Se abre un bug, en concreto el 11 de diciembre de 2007. Se cierra porque es obligatorio que lo inicie alguien de la FNMT, según los requerimientos de Mozilla. Queríamos tenerlo disponible para Firefox 3.
2. La gente de la comunidad se pone en contacto con la FNMT para pedir, por favor, que abran el bug para pedir la inclusión del certificado.
3. Finalmente, la FNMT abre el bug el 28 de mayo de 2008 (6 meses después de que se abriera por la comunidad).
4. La FNMT empieza a ayudar, a través de Cristina.
5. La FNMT desaparece unos pocos meses después, en diciembre de ese 2008.
6. 1 año después, la FNMT aparece, en diciembre de 2010.
   1. (con alguien llamado «Rafa», que usa una dirección de GMail, en vez de la oficial, obviemos este hecho…)
   2. Empiezan a hablar sobre cómo incluirlo, y lo que Mozilla necesita
7. La FNMT con una respuesta burocráticamente lenta, aparece y desaparece, como el Guadiana, durante 2011-2012-2013-2014 (con largos periodos de inactividad)
8. Mozilla comenta los defectos del certificado y de cómo se usa.
9. Hay que pasar una nueva auditoría.
10. Mozilla acepta los requerimientos del certificado y se pasa a discusión pública.
11. Se arreglan algunos fallos más.
12. Se decide que es válido.
13. Está disponible ya, con Firefox 51, lanzado a los usuarios el 24 de enero de 2017.

Entre el punto 1 y el 13, han pasado, exactamente 9 años, 1 meses y 13 días.

BONUS POINT: En Chrome siempre ha funcionado el certificado de la FNMT, y para ilustrar este artículo un poco más, mi idea era decir: «sin embargo, otros navegadores sí confiaban en ellos, por otro tipo de razones. Este es el ejemplo de Chrome.» pero…

…como veis, Chrome y la FNMT se han divorciado, supongo que no por la entrada de Firefox a este círculo amoroso, porque en el caso de los certificados, la poligamia está aceptada y bien vista.

Esto es todo, amigos. Feliz certificación y burocracia pública.