Perquè les administracions públiques tenen tants llocs web pressumptament insegurs

Perquè les administracions públiques tenen tants llocs web pressumptament insegurs

El navegador sovint diu que la seu digital de l’administració pública no és segura. Passa amb gairebé totes les de l’estat espanyol. ¿Pot ser que tantíssimes administracions de l’estat estiguin equivocades i hagin comés un error que al món privat s’arregla fàcilment?

Cal reconèixer que el missatge dels navegadors no ajuda gaire. Al Chrome (Android 7) hi diu això:

Missatge d'error al Chrome en Android 7

Missatge d’error al Chrome en Android 7

Incís:

A l’apunt de blog uso pantallades de l’Ajuntament de Palma perquè tenc acceptats tots els certificats dels webs del Govern de les Illes Balears i Palma és l’altre seu digital més habitual per a la ciutadania de les Illes Balears. Uso els ordinadors en anglès.

Fi de l’incís.

Per les persones no professionals en informàtica el més cridaner és la part on diu que els atacants poden robar la teva informació, per exemple contrasenyes, missatges i targes de crèdit. Qui fa feina en informàtica sap que aquest és un missatge genèric i que el motiu real de la pantalla és NET::ERR_CERT_AUTORITY_INVALID.

Tampoc no és fàcil saber de quina CERT_AUTORITY estem parlant. Per a trobar-ho caldrà obrir una finestra que tampoc no és gaire fàcil de llegir. Cal fixar-se en qui és aquest autor no certificat. L’organització és la FNMT (Fábrica Nacional de Moneda y Timbre):

Finestra amb els detalls del certificat (Android)

Finestra amb els detalls del certificat (Android)

El Firefox ajuda una mica més, encara que no gaire. Cal tenir curiositat i polsar el botó Advanced per a llegir que el problema és a que l’autor del certificat és desconegut. També dóna pistes en dir que “potser l’has d’importar”:

Firefox 60 en Windows 10

Firefox 60 en Windows 10

Tampoc no és fàcil saber com importar certificats. També cal fer uns quants clics més –no m’allargaré– per a descobrir que l’autor del certificat desconegut (NET::ERR_CERT_AUTORITY_INVALID per Chrome) és la FNMT. Si l’encertem als cercadors  potser acabem a una plana on podrem descarregar-nos-el:

Descargue el Certificado raíz de la FNMT para cada una de las clases de certificado, si desea incorporarlas en su navegador como Autoridades de Certificación válidas.

I sí, clar; la plana web de la FNMT també dóna el celebèrrim avís de seguretat perquè la FNMT usa certificats de la FNMT.

Pot ésser que la FNMT sigui una autoritat coneguda i validada per a fabricar els bitllets i les monedes que portem a la cartera però no sigui una autoritat coneguda i validada a internet?

No del tot.

Solució breu

Per les persones humanes adultes que viuen a l’estat espanyol és fàcil saber que la FNMT és de confiança. Aleshores poden acceptar el certificat. L’acceptació just significa dir que troben que la FNMT és de refiar. A parir d’aquí el navegador no tornarà a dubtar mai més de la seguretat del lloc web de la vostra ciutat o país.

És la solució més popular, però n’hi ha una altra.

Solució no tant breu

Si qualcú és més exigent en seguretat digital potser no en tindrà prou amb acceptar el certificat de la FNMT quan salta l’error al navegador. Voldrà anar al lloc la FNMT, baixar-lo, instal·lar-lo al sistema operatiu i als navegadors que ho necessiten –hi ha navegadors que cerquen els certificats a la configuració del sistema operatiu i d’altres que van per lliure i també el volen tenir instal·lat a la seva configuració particular, com és el cas del Firefox.

En instal·lar el certificat arrel baixat de la FNMT els errors als navegadors desapareixeran automàgicament. Voldrà dir que tot encaixa perquè és cert que la seu digital governamental que visitem usa certificats vàlids de la FNMT.

La lenta acceptació de la FNMT

En aquest moment porten de sèrie els certificats de la FNMT totes les noves versions de navegadors i sistemes operatius –bé, no ho he comprovat amb MacOS ni iOS, potser algú ho pot dir als comentaris.

Les pantallades de dalt són fetes amb un Android 7. Casualitat, aquesta setmana he rebut una actualització automàtica cap Android 8 i, voilà, conté el certificat de la FNMT:

Els certificats FNMT de sèrie a l'Android 8

Els certificats FNMT de sèrie a l’Android 8

Avui no puc fer pantallades amb errors del Chrome perquè cerca els certificats al sistema Android i troba el de la FNMT. És una qüestió de temps que no hi hagi més presumptes errors de seguretat web als llocs de l’administració pública.

No sé perquè li ha costat tant temps a la FNMT convèncer els autors de sistemes operatius i navegadors per a incloure-hi el navegador. No tinc informació de primera mà de la FNMT i per experiència sé que és l’única forma de saber la realitat.

Incís:

En dir “per experiència”, al paràgraf anterior, recordo que sovint hi ha qui diu que és així o aixà de fàcil resoldre tal o qual cosa al Govern, però que no vull posar-hi remei o que no en sé més. Quan ha passat he intentat donar-los-hi informació sobre la realitat, però la majoria de casos no ha funcionat. De fet sol passar el contrari, convertint-se tot plegat en un ‘rant’ poc pràctic a les xarxes socials. Primer em sorprenia, després vaig aprendre que el problema no era com jo feia tal o qual cosa sinó que jo representés un color i estil determinat de govern. De vegades el problema som jo, i res pus, perquè és impossible –i gens saludable– agradar tothom. Per tot plegat prefereixo explicar la realitat aquí, en obert i neutre

Fi de l’incís.

En arribar al Govern, l’estiu del 2015, vaig demanar què passava amb els certificats de la FNMT. Els tècnics explicaren que la FNMT feia anys que anava darrera la solució i que havia de ser imminent. Així va ser: el 25 de gener de 2017 tancaven la petició feta el 26 de maig del 2008. Van fer falta vuit anys, cinc mesos i un dia.

Des del 2017 els certificats arrel de la FNMT arribaran a la ciutadania. No serà immediat perquè existeixen prou combinacions de programari d’ús popular: quatre sistemes operatius (GNU/Linux, Android, Windows, MacOS, iOS) i cinc navegadors (Firefox, Chrome i Chromium, Safari, Konqueror, Edge, Explorer, Samsung, Opera). Uns navegadors necessitaran afegir el certificat de la FNMT, altres el cercaran al sistema operatiu que també l’haurà de tenir instal·lat.

El Windows abans que ningú va incloure els certificats arrel de la FNMT. Per això sovint, a l’administració pública, la resposta a les preguntes sobre certificats solen tenir per resposta “usa l’Explorer”. Tampoc no ens agrada. Fa temps vam adoptar el Firefox tot i que ells no ens ajudessin gaire fins el 2017.

Perquè l’Administració usa els certificats de la FNMT

En el nostre cas vam contractar la FNMT el 2016 per exclusivitat tècnica. En el moment de preparar el concurs, l’any 2015, ningú més que la FNMT no podia oferir-nos tots els serveis de certificació.

No són només els certificats web; fet i fet és la part més petita d’un contracte de 338.992,15 Euros per dos anys. El gros del cost dels serveis de certificació és una altre diferent al web: Només la FNMT podia subministrar els certificats CERES que rep de franc tota la ciutadania, cosa en el moment de contractar la convertia en un monopoli de facto quant a la certificació a l’estat espanyol.

Exacte: CERES significa CERtificación ESpañola i si volem validar els certificats CERES només podem treballar amb ells.

Dins el conjunt de productes de certificació del contracte hi ha el web, que és objecte d’aquest apunt de blog. ¿Es podien fer dos contractes? El CERES per un costat i, per un altre, el de només els llocs web. Calia molta justificació tècnica per a que ningú no pogués dir que era un fraccionament. No era pas gens fàcil de justificar res mentre la FNMT fes feina per a resoldre el problema dels certificats web dient que la solució era imminent. L’informe tècnic del 2015 havia de dir quelcom tipus “fa set anys que hi fan feina” i podíem afegir-hi que “després tants anys no ens els creiem”, però cal ser objectius i raonar els informes tècnics amb quelcom més que les capacitats endevinatòries personals; les bolles de vidre no són gens tècniques i sovint tenen niguls.

En el nostre cas el contracte CERES és del gener del 2016 i just un any després, el gener del 2017, la FNMT resolia el problema amb el Firefox. Tant de bo que no en vam fer dos contractes perquè avui algú –amb ganes de renou– hauria pogut dir que havíem fraccionat un contracte basant-nos en suposicions sense cap base tècnica i, clar, ens havíem equivocat per haver fet d’endevins de fireta. “Ens governen irresponsables carregats d’un ego tant gros que els fa creure que mai no s’equivoquen”. Jas titular. Un maldecap absolutament innecessari.

En veure que passaven mesos i la FNMT no resolia el problema, tampoc no hauríem pogut engegar un nou concurs només pel web: a posteriori no podem contractar una cosa que ja tenim contractada.

La contractació és, possiblement, la cosa interna més complexa i poc àgil de l’Administració Pública. També és desconeguda i per això en parlava, aquí mateix, no fa pas gaire.

El futur

La FNMT ha aconseguit reconeixement com entitat certificadora i els errors web aturaran a mida que la ciutadania actualitzi el software, cosa que sovint arriba amb nous ordinadors, mòbils i tauletes. Mentrestant no actualitzau, saber quin és el problema real ajuda a fer quelcom tant simple com acceptar, sense cap risc, els certificats dels llocs de l’Administració Pública que han contractat la FNMT.

Incís:

Del paràgraf anterior es desprèn que n’hi ha administracions que no tenen FNMT. No deia, dalt, que és un monopoli de facto? Podem crear una entitat certificadora pròpia com les que tenen a la Generalitat de Catalunya o la Generalitat del País Valencià. En preguntar què cal m’han explicat que tenen devers 100 persones tècniques treballant només en certificació. El Govern de les Illes Balears té 106 persones per a tots els serveis digitals. Ens cal recórrer encara molt camí per arribar-hi. És al nostre full de ruta.

Fi de l’incís.

El realment important és que la Unió Europea ha canviat el panorama legal quant a certificació digital. Els monopolis estatals desapareixen. Per aquest motiu el nostre contracte del 2015 era de només dos anys. A partir del 2017 es podrien fer contractes oberts i que guany el millor. L’estem preparant.

El Reglament de l’UE nº 910/2014 del Parlament Europeu diu que la certificació és lliure. El canvi significa que no només la FNMT pot donar serveis pels certificats CERES. El nou Reglament aplica des del juliol del 2016. El nou concurs que preparem podrà ser obert i admetre varis certificadors de confiança.

No tenim clar que no guanyi la FNMT perquè de moment és l’única que té tots els serveis de certificació, però per primer cop podem fer-ho en obert.

Arribats aquí, no podem estar segurs que el pròxim contracte no el guanyi algú que no estigui present a tots els sistemes operatius i navegadors. Tampoc podem posar-ho com a condició al concurs perquè seria una limitació èticament insostenible –i legalment també.

Quan els certificats són tècnicament vàlids però no els admet alguna empresa o fundació, el problema no és de la qualitat tècnica sinó d’acords comercials; no podem fer-hi res a favor ni en contra. No podem comprar en base a allò que Firefox, Google, Microsoft o Apple vulguin o no acceptar. No és ètic.

L’ètica no és universal; tothom té la seva. Quan l’ètica no és la teva perquè –posem pel cas– ets més lliberal, tot això que acabo d’explicar és una mostra més de poca agilitat. Que li farem si la iaia fuma.


Imatge: Pixabay.

Entrades relacionades

2 Comentaris

  1. Molt bona explicació.
    Per mor de l’experiència que tinc en el tema, tiaré una mica ses brases.
    La FNMT tal com expliques ha estat molts anys jugant a ser una autoritat de certificació, ja que realment ha seguit bastantes males pràctiques, com emetre el mateix certificat arrel amb modificacions i sense variar el numero de sèrie. Altres pràctiques com la de monopoli, senzillament s’han deixat fer, ja què la llei de firma electrònica sempre va dir que la validació de certificats havia de ser accessible a tothom de forma gratuïta. El que passa és què ningú es va atrevir a denunciar-ho al ministeri d’indústria, que l’aixoplugava sense cap sentit, ja què era el propi ministeri d’industria el que havia d’emetre la llista d’autoritats reconegudes.

    Altres males pràctiques són per exemple no diferenciar entre els certificats generats a la smart card o els certificats software en el cas dels CERES. La única excepció al mercat.

    I és què potser la FNMT va impulsar d’aquesta manera l’ús de la firma electrònica i quan va venir la crisi i l’hora d’acabar d’evolucionar aquell juguet en un producte comercial que havia de competir en igualtat de condicions amb la competència, van faltar els recursos i es va mantenir aquest assalt institucionalitzat.

    El problema no afecta només a la administració, ja què cap persona pot validar un certificat CERES, el què els converteix en paper mullat a efectes d’usabilitat fora de l’administració pública.

    Sobre el tema de què no sigui reconeguda de facto, crec que era perquè la FNMT no volia pagar a firefox, windows o altres, i és què com que les AC com la FNMT no tenen un mecanisme per a indicar si el certificat arrel ha deixat de ser vàlid per altres motius que no siguin caducitat, ha d’haver un procediment per tal que cada empresa que vulgui ser rexonegusa de facto ho notifiqui al publicador del software, ja que podria passar que deixessin de ser segurs, i firefox no ho sapigués, el què deixaria molt malament a Firefox.

    M’alegra saber que ja podrem dir adeu a la FNMT i les seves jugades brutes.

    • Moltes gràcies Joseph! El teu comentari explica coses històriques que no havia pogut aclarir. Al País Valencià tenen una autoritat de certificació que és reconeguda i em demanava perquè ells sí i nosaltres no. Quan vaig dir “perquè no en fem una nosaltres?” me’n vaig oblidar –per ara– perquè cal moltes persones fent-hi feina; cal destinar primer les noves places que arriben al que és realment mal de resoldre amb serveis externs.

      Ara podem comprar fora de la FNMT però m’avisen que gairebé ningú té tots els productes. A veure com va.

Deixa un comentari

This site uses Akismet to reduce spam. Learn how your comment data is processed.