Dirección Electrónica Habilitada …

060.es

… y la madre que la parió.

Ahora que la agencia tributaria ha obligado a la empresa donde trabajo a usar las notificaciones electrónicas[1] he descubierto -sin demasiada sorpresa- que aún puede doler un poco más por el mismo precio. Y es que en esta profesión enloquecer o morir de un aneurisma es posible, pero aburrirse no.

Dirección Electrónica Habilitada

El servicio de notificaciones lo proporciona Correos a través del portal 060 y consiste en simular el mecanismo de entrega de notificaciones de la vida real empleando un batiburrillo de tecnología que en el caso de Linux se complica un poco más.

El acceso al buzón de notificaciones se lleva a cabo con el navegador, siendo la versión 4 de Firefox la que yo he empleado y para la que he tenido que hacer algunos ajustes en la configuración.

Grosso modo se necesita lo siguiente:

  1. Para la conexión segura con la web de notificaciones es necesario el certificado raíz de la FNMT-CA (descargable en formato x509).
  2. Desde la web del 060 y para acceder al buzón directamente (asumiendo que ya esté habilitado) necesitamos retocar la configuración del navegador y añadir la web notificaciones.060.es al parámetro
    security.ssl.renego_unrestricted_hosts

    (he ampliado un poco la información en mi wiki[2]).

  3. Tener instalado en el navegador nuestro certificado de usuario, el que corresponde a la empresa o a la persona autorizada, emitido por una autoridad certificadora reconocida.
  4. Entorno de ejecución de Java correctamente configurado.

Entorno de Java

error-version-java.png

El acceso a este buzón se realiza en parte con el navegador y en parte con un applet Java para lo que es necesario que el entorno de ejecución de este lenguaje esté completamente configurado:

  1. La versión de Java debe ser superior a 1.6.0_17.
  2. Los paquetes instalados deben ser al menos lo siguientes:
    sun-java6-bin

    ,

    sun-java6-plugin

    y

    sun-java6-jre

    .

Certificado no instalado en el entorno de Java

Tal vez la parte más complicada es la del almacén de certificados y claves porque hay que importar a mano algunos que ya están en el navegador y al principio es un poco confuso. Además, aunque es perfectamente factible manipular a mano los diferentes almacenes de claves que Java usa (ver todos los que pueden aparecer bajo el directorio

$HOME/.java/deployment/security

), lo más cómodo es emplear el panel de control que en Debian aparece como

jcontrol

o

ControlPanel

.
certificados-java.png
Antes de conectar nos aseguramos de:

  1. Importar el certificado raíz de la FNMT en el almacén Certificados de confianza.
  2. Importar nuestro certificado en el almacén Autenticación de cliente.

Después, al conectar por vez primera con la página nos encontramos con dos preguntas que tenemos que responder afirmativamente para poder continuar, con lo que tendremos más cosas en los almacenes de certificados:

  1. En el almacén Sitio seguro aparece uno a nombre de NOTIFICACIONES.060.ES cuando se nos pregunta si consideramos segura la máquina a la que nos estamos conectando. No tenemos otra que decir que sí.
  2. En el almacén Certificados de confianza tendremos un certificado a nombre de SOCIEDAD ESTATAL CORREOS Y TELEGRAFOS S.A. cuando aceptemos el applet Java que nos envía el servidor de notificaciones y le indiquemos que recuerde esa decisión.

Incluso entonces es posible que aparezca un error y no podamos seguir porque el programa Java está firmado por la empresa Verisign, con un certificado intermedio de nombre VeriSign Class 3 Code Signing 2009-2 CA, que no tengamos instalado en nuestro entorno. Para que funcione podemos descargarlo e imporarlo en el almacén CA de firmante.

Notes

[1] Las razones son las de siempre: ahorro de costes, reducción de CO2, salvar a las ballenas, a las focas, a algún funcionario … muy monótono todo.

[2] Lugar en el que es necesario tener instalado el certificado raíz de cacert.org puesto que la conexión es también segura.