Certificado SSL del SAT expirado y con el nombre erróneo

Sinceramente no entiendo a nuestro Servicio de Administración Tributaria. Hace un rato intenté ingresar al SICOFI para entregar el reporte de CFDs emitidos que tengo que entregar mes con mes junto con otros 22,900 contribuyentes, sólo para ver con tristeza que nuevamente se les ha expirado el certificado SSL.

Si bien ahora apenas lleva expirado poco menos de 15 días, no entiendo cómo es posible que los responsables del servicio ignoren las pantallas de error que se presentan en los 5 navegadores más usados en todo el mundo. Señores del SAT… por si acaso no lo han notado, cuando se vence su certificado SSL los navegadores muestran mensajes de error como los siguientes:

Error de Certificado en Internet Explorer

Error de Certificado en Mozilla Firefox

Error de Certificado en Apple Safari

Error de Certificado en Opera

Error de Certificado en Google Chrome

Para acabarla de amolar, el certificado además de expirado, sigue con un nombre erróneo ya que el SICOFI está ejecutándose en el servidor www.consulta.sat.gob.mx, mientras que el certificado está emitido para www.sat.gob.mx. Ya se que el SAT puede decir que claramente se puede ver que es un subdominio, pero esa diferencia es más que suficiente para que los navegadores marquen error. Y más que suficiente para que el contribuyente promedio llame a Soporte Técnico al 01 800 INFOSAT, o peor aún, no pueda cumplir con sus obligaciones fiscales.

Como decía hace un rato,  no entiendo por qué el SAT no ha podido adquirir un Wilcard SSL Certificate o por qué nadie parece estar al pendiente de cuándo se vencen sus certificados. No me quiero ni imaginar el número de llamadas que han de recibir por el susodicho problema, y la consiguiente pérdida de productividad y de dinero.

En fin, para ser parte de la solución y no solo andarme quejando, les presento el workaround para la ineptitud e indiferencia de los responsables del SICOFI:

1. Para evitar problemas de compatibilidad, usen Internet Explorer.
2. Herramientas -> Opciones de Internet -> Opciones avanzadas -> desactivar la opción que dice “Advertir sobre la falta de coincidencia en la dirección de los certificados“.
3. Haga clic en “Vaya a este sitio web (no recomendado)” cuando se lo pregunte.

No puedo terminar este post sin recordarles que los 3 pasos anteriores únicamente se los recomiendo para poder entrar al SICOFI y cumplir con sus obligaciones fiscales, en ninguna otra situación se los recomiendo ya que esta configuración los deja vulnerables a fraudes de phishing.

FIEL, la clave privada que no es privada

Ayer, mientras entregaba unos reportes mensuales,  hice una reflexión sobre la Fiel (Firma Electrónica Avanzada). Como bien sabemos, en términos informáticos la Fiel no es otra cosa que un par de llaves bajo estándares internacionales de infraestructura de claves públicas (o PKI por sus siglas en inglés: Public Key Infrastructure).  De acuerdo con lo que publica el SAT en su página web, la fiel se compone de…

• La “llave o clave privada” que únicamente es conocida por el titular de la Fiel, que sirve para cifrar datos; y
• La “llave o clave pública”, disponible en Internet para consulta de todos los usuarios de servicios electrónicos, con la que se descifran datos. En términos computacionales es imposible descifrar un mensaje utilizando una llave que no corresponda.

Entonces… si bien la clave privada no la debiera conocer nadie mas que el titular de la Fiel (representante legal), entonces, ¿por que en los servicios de Internet del SAT la solicitan?  Por ejemplo el SICOFI en el inicio de sesión.

SICOFI Solicita la clave privada en el Login

Y el mismo SOCOFI al momento de firmar los reportes mensuales en línea.

SICOFI solicita Fiel para firmar online

¿No sería mejor que el firmado se realizara local para así no tener que transmitir mi Fiel sobre Internet? en el SAT ya ocupan ese enfoque con la herramienta SOLCEDI. Si de cualquier forma mi Fiel va a viajar por Internet, entonces para que tomarse la molestia de generarla localmente.

Y el inicio de sesión se me ocurren muchos esquemas que no involucrarían la Fiel, ellos mismos ocupan la CIEC y si eso no les es suficiente, entonces están los esquemas por Token como ya lo usan prácticamente todos los bancos en México.

¿Que opinan ustedes de que su Fiel viaje sobre Internet? Sus comentarios son recibidos

Solución alternativa al problema Certificado SSL erróneo para SICOFI

Gracias a un aporte de Ben-uR, he preparado esta rápida guia de como aplicar una solución alternativa al problema del Certificado SSL para el SICOFI para los navegadores Internet Explorer 7.

Si bien, el problema aún existe, esta es una forma muy sencilla para que IE7 nos permita entregar nuestros reportes, solicitar folios y demás operaciones del SICOFI. Y que además es mucho más efectiva que la “solución” que dan en el soporte técnico.

Los pasos son muy sencillos:

Paso 1. Entrar a Herramientas -> Opciones de Internet

Sicofi SSL Workaround Paso 1

Paso 2. Hacer clic en la pestaña de Opciones Avanzadas

Sicofi SSL Workaround Paso 2

Paso 3:  El la sección de Seguridad, deshabilitar la opción “Advertir sobre la falta de coincidencia en la dirección de los certificados”

Sicofi SSL Workaround Paso 3

Y eso es todo… con esto el IE7 ya va a dejarnos pasar. Sin embargo les recomiendo que una vez que hayan terminado de trabajar con SICOFI, regresen y vuelvan a habilitar esta opción, ya que nos protege precisamente de ciertos sitios maliciosos.

Finalmente, para quienes tengan el IE7 en Inglés, las opción del paso 3 se llama “Warn about certificate address mismatch“

Certificado SSL erróneo para SICOFI (Parte 2)

ACTUALIZACIÓN (31-Oct-2009): El certificado SSL del SAT nuevamente está vencido, más información y una solución alternativa AQUÍ.

ACTUALIZACION: Gracias al aporte de Ben-uR, he preparado una guia con la solución alternativa al problema.

Ayer lo intenté de nuevo, pero con el mismo resultado. Así que  me di a la tarea de tratar de conseguir soporte técnico. Como en la página del SAT no dice en ningún lugar como tal “Soporte Técnico” pues lo único que se me ocurrió fue hablar al 01 800 INFOSAT (01 800 4636728) y chutarme todo el menú de opciones.

Para no hacer muy larga la historia, les puedo decir que después de seleccionar las opciones 5 (declaraciones electrónicas), después 1 (declaración informativa con terceros) y finalmente 5 (dudas informáticas) pude hablar con la Ingeniera X (no recuerdo el nombre) de Soporte SAT. La platica fue mas o menos así (conste que mas o menos por que no la grabe, ni tome nota, ni nada):

Usuario: Disculpe estoy tratando de entregar mi reporte mensual de folios electrónicos y al intentar entrar a SICOFI me sale un error de certificado en la página.

SICOFI con Certificado Erróneo

Soporte SAT: Por favor dele clic a la opción “Continuar… no recomendado”

Usuario: Ya…. eso ya lo había hecho antes y de cualquier forma, después de llenar los datos y poner la fiel, en la siguiente pantalla me sale otro error…

SICOFI con elementos bloqueados

Soporte SAT: ¿Que error le sale?

Usuario: bla.. bla…bla (explicación de que Explorer bloqueo el contenido por error de certificado)

Soporte SAT: Por favor haga clic con el botón derecho sobre la barra amarilla y seleccione la opción de mostrar contenido bloqueado

Usuario: Listo… me dice que para que muestre el contenido bloqueado tengo que reenviar los datos… que si estoy comprando algo que ponga cancelar… bla … bla… bla… Y al final, me sale una pagina en blanco y si le doy refresh me sale un error.

Soporte SAT: Ok… métase por favor a Herramientas -> Opciones de Internet -> Privacidad y apague el bloqueador de elementos emergentes.

Usuario: Mmmm, Ok… (pensando “Menos mal que no me tengo que preocupar de que me salgan miles de popups, en fin que solo uso el Explorer para entrar al SAT”)

Soporte SAT: Ahora vaya a la pestaña de General y borre las cookies y los archivos de internet.

Usuario: Ok … ya (pensando “como si las cookies tuvieran algo que ver con su error de certificado”)

Soporte SAT: Cierre todas las paginas de internet, y espere “un ratito” a que apliquen los cambios

Usuario: Mmmmm … Ok… (pensando “un ratito, menos mal es una medida de tiempo estándar.. y además ¿que no las cookies y archivos ya se borraron? ¿o acaso mi disco duro es de borrado retardado?”)

Usuario: Disculpe Ingeniera… ¿y no seria mejor que arreglaran el problema de raíz que es instalar un certificado con el dominio correcto?

Soporte SAT: Con este procedimiento ya va a poder accesar a la aplicación

Usuario: Si, probablemente… pero estará usted de acuerdo conmino que arreglar el certificado sería la verdadera solución… Por que comúnmente antes de hablar con ustedes, todo mundo antes habla a su departamento de sistemas y pues es una pérdida de productividad ¿Puede levantar un reporte?

Soporte SAT: Si, le comento que este tema ya se esta atendiendo

Usuario: Ok, perfecto… aunque tienen ya varios meses con errores de certificado… como que no creo que lo estén atendiendo.

Soporte SAT: Si, ya lo están atendiendo. ¿Hay algo más en lo que le pueda ayudar?

Usuario: Permitame… déjeme ver si ahora ya puedo entrar…. mmm que cree.. me marca el mismo error.

Soporte SAT: Por favor dele varias veces en “Continuar… no recomendado” hasta que lo deje entrar.

Usuario: Varias veces… mmm… Ok

Soporte SAT: Si no le permite entrar por favor vuelva a borrar las cookies, los archivos temporales y espere un “ratito”

Usuario: Mmmm bueno, mire… ya pude entrar … déjeme firmo y reporte de una vez…. por favor espereme para ver si de una vez puedo entregarlo….

Usuario: Mmmm… nop, al cambiarme de opción ya me salio el error otra vez, al menos ahora me apareció el menú… déjeme ver si puedo hacer algo…

Al menos apareció el menu

Usuario: Mmmm, no. No me deja hacer nada. ¿Y ahora?

Soporte SAT: Por favor borre las cookies y los archivos temporales, espere un “ratito” y vuelva a entrar

Usuario: Ok…

Soporte SAT: ¿Hay algo más en lo que le pueda ayudar?

Usuario: No… muchas gracias creo (no muy convencido)

Soporte SAT: …. le recordamos que es una obligación expedir comprobantes fiscales por los ingresos … bla …bla… bla

En fin… despues de varios intentos SI pude entregar mi reporte, aunque en cada paso tuve que cerrar el navegador y firmarme de nuevo.

Por favor opinen en la encuesta y si pueden opinen en los comentarios.

Certificado SSL erróneo para SICOFI

UPDATE: Gracias al aporte de Ben-uR, he preparado una guia con la solución alternativa al problema.

Hoy intenté entregar el reporte mensual de utilización de folios de una empresa mediante el sistema SICOFI… y la verdad no se que ocurrió en las políticas de seguridad del Internet Explorer pero este mes me tope con una sorpresa adicional. Si bien ya por fin renovaron su certificado SSL que por mucho tiempo estuvo vencido, ahora resulta que los señores webmasters siguen sin atinarle ya que ahora el certificado no corresponde a la dirección que se usa en este servicio.

Para ser mas claros, el certificado que se encuentra instalado es válido para www.sat.gob.mx y el servicio se encuentra montado sobre www.consulta.sat.gob.mx. Ligera diferencia se podrá pensar… pero a ver cómo le explicas esto al Internet Explorer que inmediatemente muestra la siguiente pantalla:

SICOFI con Certificado Erróneo

Ha que Internet Explorer tan delicado…. está bien… digamos que decidimos darle clic a la opción marcada en rojo y NO recomendada para continuar. Pues sorpresa!!!! Aún asi se pueden encontrar con una pantalla como la siguiente:

SICOFI con elementos bloqueados

Haaa que Internet Explorer tan necio…. ya te dije que los del SAT la regaron y que no le hagas caso a su error… esta bién vamos a darle clic a la barra amarilla y seleccionemos la opción de mostrar contenido bloqueado (ya se que mi Internet Explorer está en inglés pero por favor no me digan que eso es relevante).

Un error más

Ha que caray… ¿y ahora quién podrá ayudarme? pues vamos a darle clic a la liga que dice “Para cualquier comentario favor de contactarnos a través del servicio de sugerencias”

Ja… parece una mala broma, el sitio web no existe y además creo que se les olvidó cambiar el servidor de prueba. La liga donde se supone que sirve para las sugerencias es:

http://crmtest.plataforma.sat.gob.mx:32370/psp/tsatpg/CUSTOMER/CRM/c/RC_SELF_SERVICE.RC_CASE_SW_SS_RPT.GBL?DISP_TMPL_ID=RC_SUPPORT&CASE_TYPE=SU&FolderPath=PORTAL_ROOT_OBJECT.CR_RC_CUST_CARE.SAT_CR_RC_CASE_SW_SS_RPT_SU&IsFolder=false&IgnoreParamTempl=FolderPath,IsFolder

Total… creo que no podré entregar mi reporte mensual por que ya tambien lo intenté en Firefox y como se podrán imaginar la aplicación no funciona en este navegador.

Voy a hablar al 01 800 INFOSAT a ver cómo me va. Si alguno de ustedes ha tenido una experiencia similar sería bueno que lo compartieran en los comentarios solo para saber que no estoy solo, o también pueden votar en la siguiente encuesta:

Certificado SSL del SAT vencido desde hace más de 3 meses

ACTUALIZACIÓN (31-Oct-2009): El certificado SSL del SAT nuevamente está vencido, más información y una solución alternativa AQUÍ.

ACTUALIZACION (9-Nov-2008): El certificado del SAT ya NO está vencido… pero sigue teniendo errores en el dominio, AQUÍ puedes ver una forma de “solucionar” el problema y entrar a la aplicacion.

Despues de unas merecidas vacaciones, regreso para escribir esta entrada unicamente para expresar mi asombro e indignación (¿por que no?) acerca de la siguiente barbaridad.

Nuestra autoridad, quienes emiten en México los Certificados de Firma Electrónica Avanzada, quienes emiten los Certificados de Sello Digital, quienes recaudan nuestros impuestos….. Tienen su certificado SSL vencido desde hace más de 3 meses en su página web.

Se puede apreciar que el certificado está vencido desde el 4 de marzo

Hoy estamos a 10 de Junio de 2008 y su certificado venció desde el 4 de Marzo de 2008.

¿Acaso es mucho pedir que quienes están a cargo de estos servicios se tomen un poco de tiempo para renovarlo y actualizarlo en el servidor?

Sinceramente no lo considero un capricho… imaginen a una persona que no conozca mucho sobre certificados SSL e intenta acceder a alguno de los servicios del SAT, digamos el SICOFI… ahora digamos que usa Internet Explorer 7 (nada raro en estos dias)… pues sorpresa… le aparece una pantalla como la siguiente al intentar entrar:

IE7 muestra esta advertencia de seguridad

¿ Cual es el resultado ? O cierra la pantalla y no realiza su trámite, o bien habla por telefono a alguien de sistemas para que le ayude. Cualquiera de las dos es pérdida de tiempo y productividad.

Estimados webmasters del SAT, por favor… pónganse las pilas.