ssl_error_handshake_failure_alert in Firefox [SOLVED]

Electronic ID card:  ssl_error_handshake_failure_alert in Firefox [SOLVED]

You have probably reached this webpage because you were looking for information about how to make your electronic ID card work (this post was originally written for the DNI - Spanish ID card) using Firefox browser in Windows and the only thing you get is an error message called:  “Error code ssl_error_handshake_failure_alert” (Click at the pictures to enlarge).

For some reason that you don´t understand the chip of your ID card doesn´t work while trying to do your electronic transaction.

If that's your case, you must know that the problem is probably due to the fact that the user account of the Windows PC you are using for the transaction with your ID card (or similar card) is a STANDARD user account. For that reason you're running Firefox browser with STANDARD privileges when, in fact, the problem is that Firefox browser must be run with ADMINISTRATOR privileges.

Although this could seem something very complex, it has a very easy solution. Follow, STEP BY STEP, my instructions

• Close all the browsers of your PC (Internet Explorer, Chrome, Firefox, Edge, Opera, Safari, etc.)

• Connect the ID card reader to the computer through the USB cable.

• Insert the electronic ID card in the reader (if the card reader has some LED light this will probably turn on or flicker).

• Once you have done the three previous steps, press SIMULTANEOUSLY the Control and Shift keys located at the inferior left part of your keyboard.

 

 

• WHILE KEEPING BOTH KEYS PRESSED, click with the mouse in the Firefox icon.

• In that moment, the USER ACCOUNT CONTROL (UAC) window of Windows OS will pop up  and you´ll be asked to enter the password of the ADMINISTRATOR account of your computer. Type it (if you don´t know this password, ask to the person in charge of computers at your home; he or she will know the password.

• Once you have entered the ADMINISTRATOR password in the UAC window, a new window of Firefox will open with ADMINISTRATOR privileges. Since that moment, the program will gain access to the personal data stored in the chip of your ID card.

 

• For checking that your card is correctly working and the browser is reading the data / information recorded in the chip you can do this: Go to the "Tools" menu of Firefox, then "Options"-> "Advanced", select    "View Certificates" and finally click in "Your certificates" tab.

 

• You should see a screen like the one you can see below with two elements: your name and surname accompanied by the word SIGNATURE ("firma" in Spanish) and another line with your name and surname accompanied by the word AUTHENTICATION
 

• If you can see both lines I have mentioned above, then your ID card is working perfectly and from now on it should work without problems in any governmental or banking webpage where you want to use it. Anyway, remember that you will always need to run your Firefox browser with ADMINISTRATOR privileges everytime you want to do a transaction of this kind with your ID card (pressing Shift + Control  keys while clicking in Firefox icon) 

• Enjoy your certificates and remember that you'll probably need the secret PIN for your transactions too.

• One last thing: if you finally can use your ID card and solve the problem thanks to this post... I will be very grateful if you could leave a comment (please, remember to put your COUNTRY). I think I´m not asking for too much...and it is only for confirming if this post is useful to the people. Thanks in advance.

   

This post was originally written in http://securedcomp.blogspot.com.es

CÓMO RENOVAR LOS CERTIFICADOS DEL DNI ELECTRÓNICO (DNI-E)

 

CÓMO RENOVAR LOS CERTIFICADOS DEL DNI ELECTRÓNICO (DNI-E). 

Recientemente me iban a caducar los certificados digitales almacenados en el chip de mi DNI 2.0 (el DNI amarillito y azul). Se daba la circunstancia de que yo gasto a veces el DNI en casa para gestiones personales de Internet, pero además también lo uso para fichar en el trabajo. Por ello, me veía obligado a renovarlos. En esta entrada voy a explicar como “renové” dichos certificados.

IMPORTANTE:

Antes de nada aclarar que los certificados electrónicos del DNI se pueden renovar desde 30 días antes de la fecha en la que caducan. 

Y por otro lado comentar también que, cuando se lanzó el DNI 2.0 los certificados tenían una validez de 30 meses. Sin embargo, una reciente modificación del Gobierno (RD 414/2015 de 29 de mayo de 2015) ha hecho que actualmente los certificados de los DNI que se expidan a partir de ahora tengan una validez de 60 meses (o sea, 5 años; se ha duplicado por tanto el número de meses de validez de los mismos). Teniendo en cuenta que la tarjeta física se suele emitir por un período de 10 años, lo normal es que, en ese periodo, y con las nuevas condiciones, el ciudadano sólo tenga que renovar su certificados 2 veces (y no 4 veces como ocurría cuando los certificados tenían una validez de 30 meses).

Lo primero, indicar que el proceso de renovación de certificados es un proceso del que había leído a mucha gente quejarse por Internet por complejo, tedioso y/o delicado. Yo me leí bastantes posts antes de hacer la gestión para ir informado acerca de todos los pasos y evitar posibles errores a la hora de realizar la renovación en la máquina. 

Y aún así, sabiendo todo lo que tenía que hacer, debo decir que mi experiencia ha sido muy frustrante.

El sábado 28 de noviembre de 2015 me dirigí a una de las 2 comisarías principales de mi ciudad. Allí encontré 6 máquinas de renovación de certificados de DNI-e (ellos creo que lo llaman puntos de renovación desatendidos porque permiten realizar la renovación de certificados sin la necesidad de ser atendidos por un funcionario). De hecho yo fui sin cita previa. 

Pues bien, la primera decepción vino con el propio funcionamiento de las máquinas. Fui introduciendo mi DNI en cada una de ellas y, aunque todas estaban encendidas, pude comprobar cómo sólo 1 de las 6 máquinas reconocía mi DNI 2.0. Las otras no reconocían el documento. Ante tal escenario tenía claro que no me iba a despegar de la única máquina que funcionaba porque, si ésa me fallaba o era ocupada por otra persona, yo no había concertado cita previa para que me atendiera un funcionario.

Ya ante la máquina que funcionaba, inserté la tarjeta e introduje mi PIN (el que va en el sobre ciego que te da la Policía cuando te expide la tarjeta física; en mi caso, nunca había cambiado el PIN original). Una vez hecho esto, salió en pantalla mi foto, mi firma, mis datos personales y varias opciones para realizar diferentes operaciones.

En mi caso, lo primero que hice fue cambiar la contraseña porque seguía funcionando con la que ponía originalmente en el sobre ciego que te entrega la policía cuando te haces el DNI de plástico. Dicho trámite de cambio de contraseña, que hay que hacer a través de la opción "CAMBIAR CONTRASEÑA", resultó muy rápido y sin complicaciones y en pocos segundos tuve mi DNI con una nueva contraseña creada por mí. Simplemente hay que introducir una contraseña nueva dos veces y guardar para que la máquina la grabe en el chip (advertir aquí que en la parte inferior de la pantalla veremos un mensaje con letras naranjas indicando que algunos símbolos del teclado no están permitidos; deberemos tener en cuenta esto para no usar en nuestra nueva contraseña los símbolos que no aparezcan como permitidos). 

En segundo caso, y lo más importante, deseaba renovar los certificados. Había leído por Internet que a veces este procedimiento daba problemas, que la gente muchas veces no se aclaraba y que sobre todo, lo que no hay que hacer nunca es sacar el DNI de la ranura de la máquina antes de tiempo porque el chip de la tarjeta puede quedar inservible. Así es que ya sabéis, sed pacientes si hacéis este trámite porque a la máquina le puede costar fácilmente entre 3 y 5 minutos grabar los nuevos certificados en el chip. ¡¡¡Nunca saquéis la tarjeta antes de que la máquina os lo indique!!! 

En mi caso, quería también aprovechar para añadir mi e-mail a los certificados. Había leído que el hecho de añadir la información del mail implicaba obligatoriamente la revocación de los certificados actuales y la creación de unos nuevos. Así es que me dije: ¡Perfecto, introduzco mi mail para que este dato se grabe en el chip y a todos los efectos, renuevo mis certificados!...

Así lo hice. Introduje el mail, la máquina me revocó los certificados que en ese momento estaban en mi chip e inmediatamente a continuación se inició el proceso de renovación de certificados. Vosotros podéis acceder directamente a la renovación a través de la opción "RENOVAR CERTIFICADOS" del menú lateral izquierdo que aparece en pantalla. 

La primera dificultad con que me topé en el proceso de renovación de certificados fue con la incapacidad de la máquina para leer mis huellas.

La máquina muestra el siguiente mensaje: Mantenga posado el dedo indicado en el lector de huellas. No lo retire mientras se muestra esta pantalla. 

En mi caso creo que puse los diferentes dedos que me iba solicitando el terminal unas 15 o 20 veces y la máquina fallaba SIEMPRE. Yo todo era limpiarme los dedos en la ropa por si el problema se debía a un exceso de grasa en los mismos, pero aquello seguía fallando. Incluso llegué a limpiar el lector de la máquina con un pañuelo de papel, pero nada. Finalmente, tras insistir con muchos intentos y no sé ni cómo (supongo que por mi insistencia), conseguí que la máquina tomara mis huellas y pasara de pantalla.

En ese momento salió un mensaje en pantalla indicando: Puede retirar su dedo del lector de huellas. No retire su DNI del lector de tarjetas. 

A continuación, apareció un segundo mensaje que decía: “Generando claves privadas. No retire su DNI del lector de tarjetas. El proceso puede durar varios minutos”. 

A partir de entonces, esperé pacientemente sin quitar mi DNI tal y como indicaba la máquina, pero 3 o 4 minutos después, la máquina me dijo que había habido un problema y no se habían podido renovar los certificados. Extrañado, procedí a repetir el procedimiento y tras otros 4 o 5 minutos, la máquina me volvió a dar el mismo error.

Se me ocurrió mirar en ese momento cuál era el estado de mis certificados y vi con asombro como mi el chip de mi DNI no tenía ningún certificado. Es decir, la máquina me había borrado los que yo aún tenía vigentes (y que me caducaban en 25 días) pero al mismo tiempo no me había grabado los nuevos. ¡Un desastre, vamos! 

Extrañado (ya que yo sabía que había hecho todos los pasos bien) lo comenté con los funcionarios y uno de ellos me dijo que eso era porque la máquina por algún motivo había dañado el chip de mi DNI y que me tenían que hacer un duplicado.

Una funcionaria, no obstante, vino entonces conmigo para verificar lo que yo les había dicho que me estaba haciendo la máquina y, tras comprobar que yo hacía todos los pasos correctamente pero que el proceso de renovación  realmente fallaba en el último paso, me comentó que el fallo debía de haberse producido por algún fallo de conexión de la máquina a la hora de conectar con Madrid (que es donde al parecer están los servidores). 

Muy amablemente la mujer me dijo que iba a proceder a hacerme un duplicado y que no me iba a costar dinero por ser el fallo culpa de las propias máquinas de renovación. Así, aprovecharon las fotos y mi firma que constaban en mi ficha y únicamente me volvieron a tomar las huellas.

Después de unos 10-15 minutos, la mujer me entregó gratuitamente mi nuevo documento. Pero había una cosa interesante: Hacía 8 días que habían empezado a emitir el DNI 3.0. Así es que, sin yo quererlo, me vi con un flamante DNI 3.0 en mi bolsillo. 

Indicar que este DNI 3.0, que es de color rojizo, tiene muchas más medidas de seguridad aparte de incluir también los certificados de firma y autenticación de la versión 2.0.

El DNI 3.0 por el anverso incluye: 

• Apellidos, nombre, sexo, nacionalidad, fecha de nacimiento, número de soporte y la validez.
• Una foto en grande a la izquierda y luego, en pequeño a la derecha, la misma foto grabada en forma de holograma.
• El número del DNI.  
• La firma manuscrita.
• El nuevo código CAN abajo a la derecha.
• Y una ventana transparente con un código en la parte superior derecha.

Por el reverso consta:

• El domicilio, lugar de nacimiento, de quién somos hijos y el equipo de la Policía que expide el documento.
• En la parte inferior, el código MRZ (secuencia de números, letras y símbolos <) para lectura automática de los datos del DNI por parte de una máquina.
• El chip (sí, en esta versión 3.0 el chip va por detrás) 

Este nuevo DNI incorpora también un circuito NFC integrado (Near Field Communication) para poder usar el DNI en terminales de proximidad y con tabletas y smartphones. Para poder hacer uso de esta tecnología, en la esquina inferior derecha, consta de un número llamado número CAN (Card Access Number) que es el que permite, a los terminales que estén preparados, leer mediante tecnología NFC la información personal nuestra que contiene el DNI grabada en formato digital. 

Como resumen de esta entrada, indicar que mi experiencia personal de renovación de los certificados digitales de mi DNI ha sido bastante frustrante y negativa. Un trámite que se suponía tenía que haber durado apenas 5 minutos se alargó durante una hora. Y eso que yo me había leído otras experiencias de otros usuarios por Internet e iba preparado. 

De todas formas, también es verdad que no sé si el fallo que a mí me dio al final del proceso fue algo habitual o si simplemente me tocó y es algo aislado y puntual. 

No obstante, creo que con esta entrada, al menos podéis haceros un poco la idea de que, cuanto menos, el proceso de renovación es delicado y hay que hacerlo con tranquilidad para evitar fallos. Y aún así, podéis encontraros con que el chip de vuestro DNI se corrompe. 

¡Ah! Y para los que puedan pensar que a lo mejor hay una forma de renovar los certificados de forma telemática que sepáis que no. SIEMPRE es necesaria la PRESENCIA FÍSICA DEL TITULAR.

Espero que os sirva la información.  

Esta entrada es original del blog http://securedcomp.blogspot.com.es 

DNI electrónico: ssl_error_handshake_failure_alert en Firefox [SOLUCIONADO]

Solución al error «ssl_error_handshake_failure_alert» con el DNIe en Firefox

Posiblemente hayas llegado hasta aquí (y por lo que leo en los comentarios de abajo, algunos venís ya desesperados después de dar muchas vueltas) a través de una búsqueda en Google porque estás intentando hacer funcionar  tu DNI electrónico español (DNI-e) utilizando el navegador Firefox en Windows y lo único que obtienes es un error llamado “Código de error ssl_error_handshake_failure_alert” (Clic en las fotos para ver + grande).

Asumo que has instalado el módulo criptográfico que explican en la web http://www.dnielectronico.es/PDFs/Familia%20Mozilla.pdf, que se han instalado los drivers necesarios automáticamente en tu ordenador a través de Windows Update y que te sale este letrero cuando metes el DNI electrónico en el lector:

…Pero aún así, y por algún extraño motivo que desconoces, no consigues que el chip funcione para hacer tus gestiones electrónicas.

Si ése es el caso, posiblemente se deba a que la cuenta de usuario del ordenador con Windows desde la que estás intentando hacer funcionar el DNI-e es una cuenta de usuario estándar. Por este motivo, el navegador Firefox lo estás ejecutando con privilegios de usuario estándar cuando realmente el problema es que se necesita que el navegador se ejecute con privilegios de ADMINISTRADOR. 

Esto, que parece muy complejo, tiene fácil solución. Sigue al pie de la letra los pasos que te voy a dar:
  

• Cierra todas las ventanas de todos los navegadores (Internet Explorer, Chrome, Firefox, Edge, Opera, Safari, etc.)

• Conecta el lector de DNI-e al ordenador mediante el cable USB.

• Introduce el DNI electrónico en el lector (si tiene algún led o luz piloto posiblemente ésta se encenderá cuando metas la tarjeta).

• Una vez hechos los tres pasos anteriores, aprieta SIMULTÁNEAMENTE las teclas Control y Mayúsculas (también llamada Shift en algunos teclados) que quedan en la esquina inferior izquierda del teclado.

 

 

• MIENTRAS MANTIENES AMBAS TECLAS APRETADAS pincha en el icono de Firefox. 

• En ese momento saltará la ventana de Windows en la que se te pedirá la contraseña de la cuenta administrador del ordenador desde el que estás actuando. Introdúcela (si tú no te encargas de estas cosas, pregúntasela a la persona que gestiona o repara los ordenadores en tu casa; él o ella la sabrán).

• Una vez introducida la contraseña de administrador de Windows se abrirá Firefox con privilegios de administrador y por tanto el programa estará teniendo acceso a los datos personales grabados en el chip de tu DNI-e.

 

• Para comprobar que el navegador está accediendo al chip y leyendo correctamente los datos contenidos en él puedes hacer lo siguiente. Ve al menú "Herramientas" de Firefox, dentro de éstas a "Opciones", a continuación a "Avanzado", selecciona  "Certificados", pincha en "Ver certificados" y por último en la pestaña "Sus certificados".

 

• Debe salirte una pantalla como la de abajo, donde ponga como nombre de certificado "Dirección General de la Policía" y a continuación tu nombre y apellidos duplicados y acompañados por las palabras (FIRMA) y (AUTENTICACIÓN).
 

• Si es así, tu DNI electrónico está funcionando perfectamente y a partir de ahora debería funcionar sin problemas en cualquier página de la administración o de bancos en la que quieras usarlo. Eso sí, recuerda a partir de ahora iniciar como ADMINISTRADOR el navegador siempre que quieras hacer una gestión (apretando Mayúscula + Control mientras pinchas en el icono de Firefox) 

• ¡Qué emplees al máximo tus certificados! Y recuerda, cada vez que quieras hacer una operación con tu DNI-e, éste te pedirá el PIN del chip que va en el "sobre ciego" que te dieron en la comisaría de policía al mismo tiempo que te entregaban la tarjeta física del DNI-e.

• Por cierto, si consigues hacer funcionar finalmente tu DNI-e gracias a este post de mi blog, no estaría mal que dejaras algún comentario. Y estaría bien que dijeras también el tipo de trámite que estás intentando hacer: declaración Renta, etc. para saber por donde le vienen los problemas a la mayoría de la gente que acaba en mi web. De esa forma igual puedo ir mejorando un poco más el post... Creo que no pido mucho a cambio y es simplemente por gusto personal de ver si el post le es útil a la gente. Gracias. 

   

Esta entrada es original del blog http://securedcomp.blogspot.com.es