Autor: Manuel Martínez - Director Técnico de 1 de N Tecnologías de la Información, S.L.
Los certificados electrónicos son algo con lo que convivimos todos los días.
Quizás no seas consciente, pero estás haciendo uso de estos certificados casi cada vez que usas Internet. Un ejemplo: algo tan habitual como visitar una página https:// lleva implícito el uso de un certificado digital, el de la web identificándose. Así tu navegador comprueba dicho certificado de forma automática para ti y te informa sobre si el sitio es legal o es un fraude, mediante el icono de candado.
En el caso de este blog, aquí tienes un ejemplo de conexión segura (candado) y certificación de Blogger |
Pero no sólo se usan en estos casos. Todos los autónomos y empresas tenemos la obligación de tenerlo... y usarlo, al menos cada 10 días, porque tenemos una cita inapelable con la DEH (Dirección Electrónica Habilitada), puesto que debemos consultarla para ver si tenemos comunicaciones de Hacienda (ya no envía comunicaciones en papel a autónomos y empresas). Y para consultar la DEH necesitamos un certificado electrónico, sí o sí.
Si eres autónomo o tienes una empresa, esta será tu visita obligada cada 10 días al menos |
Además, podemos realizar muchos trámites con la AEAT (Agencia Tributaria) de forma no presencial gracias a ese certificado.
Es algo tan cotidiano que, de hecho, la mayor parte de los españoles lleva un certificado electrónico en el bolsillo, desde hace unos años. El DNI electrónico que te entregan al renovarlo ya lleva incluido uno de estos bichos, en el chip que incluye el documento.
Con el chip del DNI electrónico puedes firmar digitalmente (algunos) documentos electrónicos |
Vamos, que es algo con lo que convivimos y normalmente funciona bastante bien. Pero las cosas se pueden complicar.
Te voy a contar una historia de amor y sus efectos secundarios con los certificados electrónicos, para que no te pase lo mismo que a mí. Y para que no pierdas varias horas intentando solucionarlos…
Hace unos días recibí un bonito correo de la FNMT informándome que en un par de meses me caducaba el certificado electrónico, ese gran amigo que me ayuda con mis relaciones con la Administración. Y como soy un chico escarmentado (ya he sufrido los rigores de renovar el certificado una vez caducado), decidí renovarlo inmediatamente.
Todo fue como la seda. Entré en el enlace que te viene en el propio correo informándote de la próxima renovación. Seguí los pasos del portal CERES, y en un momento tuve la solicitud tramitada.
Sorprendido me quedé cuando escasamente 1 minuto más tarde, recibí un correo informándome que tenia el certificado listo para descargar… Pero si no parecía la Administración española :). Así que procedí a descargarme el nuevo certificado, que se instaló sin problemas. Vamos, todo un lujo.
La parte divertida comenzó cuando unos días después, como cada lunes, procedí con mi rutina de visitas, entre ellas a la DEH, y la primera sorpresa en la frente: no me dejaba entrar en la DEH con mi certificado antiguo, el cual debería ser válido hasta noviembre, dándome un error de que había sido invalidado. En un principio fue una molestia, pero se solucionó usando el flamante certificado que había renovado. Lo lógico es que el antiguo funcionase hasta que llegase su expiración, pero la lógica no funciona con la Administración, claro.
Este es el mensaje que me aparecía del certificado caducado, que luego debí cambiar por el renovado |
Hasta ahí todo bien, pero la alegría se acabó cuando un par de días mas tarde tuve que enviar un e-mail firmado digitalmente (te recuerdo que la firma digital depende de un certificado electrónico en vigor). Al recordar el problema anterior con el certificado caducado, procedí a actualizar el certificado de firma de mi programa de correo (Thunderbird, aunque es irrelevante). Tras la cuidadosa redacción del e-mail (cuidadosa, porque los correos que firmo digitalmente, suelen ser algo bastante serio y de lo que quiero dejar constancia), marqué la opción de firmar digitalmente y di al botón de enviar. Sorpresa, un bonito mensaje:
“No se pudo firmar el mensaje. Compruebe que los certificados indicados en las opciones de cuentas de Correo y Noticias para esta cuenta son válidos y de confianza para correo”.
Así te aparecerá en Thunderbird la opción para firmar digitalmente un mensaje |
Te puedes imaginar la cara que se me quedó. Si estaba funcionando… Tras mucho revisar que el certificado estuviese correctamente instalado y que no había hecho ninguna trastada al actualizarlo, me fui a las FAQs de la FNMT y comprobé que tenía instalados los certificados raíz que requieren. Vamos, que en teoría tenía todo OK, pero en la practica tenía un bonito ladrillo.
Definición de certificado raíz de la FNMT |
Tras repasar varias veces la configuración me di cuenta de que el nuevo certificado no estaba emitido por la FNMT, sino por la FNMT-RCM, lo que me hizo sospechar que por ahí venían los tiros, digo los problemas… El nuevo certificado tenía los siguientes datos del emisor:
CN = AC FNMT Usuarios
OU = Ceres
O = FNMT-RCM
C = ES
Una revisión de la lista de Autoridades de Certificación me confirmó que no tenía esa entidad entre las de mi catálogo, por lo que una visita rápida a la página de la FNMT en la sección de descargas, me desveló que había un certificado nuevo: AC FNMT Usuarios. Una rápida descarga, una importación sin incidencias del nuevo certificado y ya podía volver a firmar los correos (ojo, acuérdate de que al importar el certificado hay que habilitarlo para permitir identificr a los usuarios de correo, si no no vale para nada lo que se ha hecho antes).
Ejemplo de Autoridades Certificadoras AC |
Resumiendo, que si te actualizas los certificados, debes comprobar que tienes también instalados todos los de la cadena de confianza de esa raíz:
AC FNMT Usuarios
AC RAIZ FNMT-RCM
Otro cantar son los problemas con las versiones de navegador que provoca la Administración en cuanto a los certificados, pero eso es cosa de otro post.
Hasta pronto. Y ya sabes: be safe, my friend.
Post relacionados:
Qué Es y Para Qué Sirve el Certificado Digital
Muchas gracias. Me ha sido muy útil. En mi caso para AC RAIZ FNMT-RCM he tenido que seleccionarlo en la pestaña de autoridades, "editar confianza" y marcar la casilla "este certificado puede identificar a los usuarios de correo" que estaba desmarcado en el desplegable.
ResponderEliminarMe alegro de que hayas podido solucionar tu incidencia. Lo cierto es que nos ponen bastante complicada la utilización de los certificados, se echa de menos una uso más sencillo e intuitivo para los usuarios.
EliminarMuchas gracias por dejar tu aportación y me alegro de que el post te haya sido de utilidad.
Saludos
Muchas gracias.
ResponderEliminarTenía la misma situación. La he resuelto, gracias a tu investigación y solución.
Saludos.
Hola.
EliminarMuchas gracias por tu comentario. Me alegro muchísimo de que el post te haya sido de ayuda.
Saludos