2011/04/17

Como usar el DNIe con Firefox 4 en Mac 10.6

This post is in Spanish as it's related only to a problem in Spain with Firefox 4.

DNIe vs Firefox 4

Desde que se lanzó Firefox 4 la gente que usa Mac ha tenido problemas para poder usar el DNIe ya que no permite instalarlo, y si lo tenías instalado con anterioridad no hace nada al intentar acceder a páginas donde lo requieran.

En principio nadie sabía indicar cual era la causa de estos problemas, pero tras crear un ticket en Mozilla respondieron diciendo que el problema es que estabamos intentando usar unas librerías de 32 bits y Firefox 4 se ejecuta por defecto a 64 bits.

Existen los drivers de OpenSC para Mac a 64 bits, pero no sirve de nada instalarlos, ya que los drivers específicos para el DNIe no vienen incluidos y la versión que proporcionan no funcionan con ellos, por lo que tenemos que esperar a que nos publiquen una versión oficial para poder usarlo correctamente.

Solución temporal

Sin embargo, en vez de desinstalar Firefox 4 y volver a la 3.6, podemos configurar fácilmente el ejecutable como indica Willyaranda para que se ejecute a 32 bits y de esa forma sí que podremos instalar la librería necesaria en Firefox y luego usar el DNIe.

Primero vamos a "Aplicaciones" y en el icono de Firefox pinchamos con el botón derecho y escogemos "Obtener información"

En esta ventana se activa la opción de "Abrir en modo de 32 bits"

Y ya está, ahora cuando ejecutemos de nuevo Firefox funcionará en modo de 32 bits y los drivers del DNIe sí que se ejecutarán. Podemos lanzar la web de verificación y nos pedirá que introduzcamos nuestra contraseña.

Si todavía no habíamos instalado el DNIe y esta es la primera vez que lo hacemos, puede pasar que en el paso final tras iniciar de nuevo la sesión en Mac y cuando se lanza automáticamente Firefox, nos diga que no se ha podido instalar el Módulo de seguridad. En ese caso a mi me ha bastado con cerrar Firefox, y al abrirlo de nuevo cargar otra vez el fichero de instalación file:///Library/OpenSC/share/web/instala_modulo_f3.htm y entonces sí que se ha instalado correctamente (tras confirmar los permisos requeridos)

Posibles problemas con los certificados

Otro posible problema con Firefox 4 (pero no exclusivo de Mac ni relacionado exclusivamente con el DNIe) es que al intentar acceder a alguna web con HTTPS nos muestre una ventana de error con este mensaje: "ssl_error_renegotiation_not_allowed"

Dicho problema está explicado por completo en el Wiki de Mozilla: Security:Renegotiation y básicamente se trata de que existe una vulnerabilidad en los protocolos SSL/TLS y desde Firefox 4 han decidido que lo mejor es bloquear dicha vulnerabilidad, e intentar conseguir que todo el mundo actualice sus servidores para evitar el problema.

Por tanto, lo primero que hay que hacer es enviar un correo al contacto de ese sitio web para indicarles la existencia del problema y que deberían solucionarlo lo antes posible. Cuantos más les escribamos, más posibilidades hay de que al fin se decidan a corregirlo aunque no sea más que para no tener que seguir oyéndonos.

Y mientras tanto, pues nosotros podemos hacer unos ajustes en nuestro navegador para poder usar esa web si así lo queremos:

  1. Escribimos about:config en la barra de direcciones y pulsamos enter
  2. Si nos avisa de que podemos estropear algo le decimos que sí, que estamos seguros de lo que queremos hacer.
  3. Escribimos (o pegamos) security.ssl.renego_unrestricted_hosts en el filtro, nos aparecerá la preferencia correspondiente y por defecto como una cadena en blanco.
  4. Le damos a editar y pegamos ahí el dominio donde nos ha dado el error (sin https:// ni las carpetas)

  5. Si hay más de un dominio los separamos con comas.
  6. A continuación filtramos esta otra preferencia security.ssl.treat_unsafe_negotiation_as_broken y la cambiamos a true.

De esta manera ya podremos acceder a ese dominio de forma temporal mientras corrigen los problemas con su servidor y lo dejan bien protegido.

Lo que NO es recomendable es cambiar la configuración de security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref ya que eso anula por completo la seguridad y seremos vulverables en cualquier web al problema existente que estaban intentando evitar (es decir, por poder acceder a una web de esta forma se anula la seguridad en todas las webs)

 

8 comments:

Unknown said...

Muchísimas gracias, me vino genial lo de ejectuar a 32 bist.

Gracias.

Unknown said...
This comment has been removed by the author.
Mariano González said...

Por fin, después de muchos intentos, he conseguido leer mi DNI electrónico. Muchas gracias por tus instrucciones.

Alberto Albiol said...

Bravo por lo de los 32 bits, uno se lo configura y cuanto te va lo dejas hasta el año que viene para la declaracion de renta y te surgen siempre sorpresitas como esta

carmen said...

Probado con MacOS 10.6.8, Firefox 5.0.1, sca0.2.8 y opensc.dnie-1.4.8.1. Solo teniendo que cargar el modulo opensc-pkcs11.so en Firefox ejecutandolo de 32 bits.

El problema me viene con otra tarjeta de la FNMT (ceres) que tambien me deberia funcionar (mismo lector, hago pruebas con opensc-tool y pkcs11-tool sin problemas sin problemas) pero en Firefox la tarjeta aparece como "unnamed slot". La tarjeta funciona en Windows sin problemas pero en Mac con esas caracteristicas, ni en sueños

Tienes alguna idea???
Gracias de antemano

Alfonso said...

Pues yo no he hecho ninguna prueba con esa tarjeta, así que no te puedo ayudar.

Lo que sí tengo que hacer en cuanto tenga tiempo es actualizar este post ya que la información está desfasada. Los drivers de OpenSC ahora sí que sirven y permiten trabajar con Firefox normalmente sin tener que cambiar a 32 bits.

Así que cuando tenga tiempo buscaré a ver si hay alguna página donde lo expliquen para dejarla enlazada y si no tendré que esbozar cómo funciona el tema.

benjavalero said...

Muchísimas gracias. Después de darle mil vueltas, cambiar a modo de 32 bits funcionó.

Alfonso said...

Como dije en el anterior comentario, yo creo que se pueden usar hoy en día los drivers de http://www.opensc-project.org/ pero como hace tiempo que dejé de usar Mac ya no me interesa el seguir rompiendome la cabeza en esta batalla.