Ricardo Galli, de software libre

La foto de arriba (otras mejores)  es de estudiantes de ingeniería de sistemas poniéndose el traje para entrar a clase. La profesora de esa asignatura les había “provocado” diciendo que no tienen la imagen para ir a una entrevista de trabajo. La respuesta muy adecuada además de cachonda.

De todas formas sigo sin creerme del todo que a estas alturas todavía haya empresas que busquen buenos ingenieros y que el traje o la vestimenta sea algo que tenga la mínima consideración (supongo que sólo se refería a la ropa, porque el aula no olía mal ). Pero debe ser que sí.

Es más. Lo leí hace unos días en algún blog –perdón, no lo recuerdo… sigo buscando entre mis RSS gracias #4–, pero decía algo que estaba completamente de acuerdo, era más o menos así:

Si eres bueno no necesitas entrevistas ni preparar tu curriculum vitae. Muchas empresas ignoran los CVs –casi lo consideran spam–, pero si eres bueno tus trabajos y experiencia ya son conocidos.

Creo que sí, que no hay mejor carta de presentación para un informático que tener un proyecto “en línea”, o código liberado. Como les dije a los chicos de EyeOS hace unos meses:

Independiente de que podáis o no ganar dinero con el EyeOS, tampoco debéis preocuparos, sóis demasiados jóvenes y gracias al proyecto –y si seguís en la misma línea– no tendréis problemas para conseguir buenos trabajos durante el resto de vuestras vidas [*].

[*] Ninguno de ellos tiene título de ingeniero en informática –al menos todavía no–, el mayor programador ni siquiera estudia informática y en temas de seguridad informática me puede dar una paliza del copón, a pesar de tener menos de la mitad de mi edad y menor experiencia. Otro que nos puede dar una clase de cómo dar conferencias informativas pero muy divertida. Y un tercero puede dar una paliza a muchos diseñadores con título. ¿Estaré haciendo daño a la profesión o a la humanidad danto ánimos a tantos “intrusos”?

PD: Saqué la foto rápidamente con mi teléfono sin baterías y a punto de apagarse. Había otra gente con buenas cámaras, si alguien sabe dónde la subieron, que por favor nos las indiquen.

La BIOS del X61 que tengo tiene un bug que deshabilita los USB de la izquierda (donde hay dos juntos). Hay una actualización “independiente del SO” que lo soluciona, pero necesita arrancar con el CD desde la docking station… que no la tengo. ¿Alguien por Palma o Mallorca tiene una para que me preste sólo para hacer esa actualización?

PD: Hacerlo a travéz de un dispositivo USB es posible con varios hacks, pero es una pesadilla, y el único que parece funcionar en este modelo necesita el VMWare para crear el dispositivo de arranque (que empotra en éste un disco RAM con el firmware original para engañar a la BIOS).

[Esta forma de pensar]… No es natural para los ingenieros. La buena ingeniería incluye pensar cómo hacer funcionar las cosas; la mentalidad de seguridad en cómo hacer que fallen.

Frase concisa y cierta del ensayo de Bruce Schneier The Security Mindset. No puedo estar más de acuerdo, conozco a unas pocas personas –algunas de ellas amigos míos– que piensan de esa forma tan “retorcida” desde mi punto de vista [de pobre ingeniero].

De esta lógica, que me parece razonable, se deduce: los buenos ingenieros/programadores harán programas valiosos, pero por su propia forma de pensar tendrán bugs de seguridad.

Moraleja: busca el consejo de unos cuantos amigos/programadores/empleados que tengan “mentalidad de seguridad”, no vayas de chulo diciendo que tu software no tiene bugs hasta que lo hayan mirado y probado esos puñeteros retorcidos

Ayer me mandé una cagada con la Maribuntu, me tuvo despierto hasta las 8 de la mañana de hoy. Como no tengo nada interesante para contar y como este blog es mío, pues lo cuento… bueno, en realidad seguro que ayudará a alguno con el mismo problema.

Ya estaba aburrido y con mucho mono de versiones nuevas –sobre todo del Firefox 3–, así que decidí actualizar mi Thinkpad (X61s) a la Ubuntu Hardy Beta.

Hice un dist-upgrade de la Feisty, salvo unos pequeños errores sin importancia, fue todo bien. Pero al reiniciar y arrancar con el kernel nuevo (2.6.24-12 de AMD64) iba a velocidad de tortuga, muy mal. El hdparm me daba una increible velocidad de 1.6 MB/seg (lo normal es más de 42 MB/seg en ese portátil). Descubrí que era problema del módulo sata y no pude encontrar la forma de solucionarlo.

Así que decidí hacer una instalación nueva. Como el portátil no tiene CD lo hago por la red con el PXE. Me bajo la instalación mínima que pongo en un servidor TFTP de otro ordenador y vía DHCP le indico qué arrancar. Luego todos los paquetes lo baja desde los servidores de Ubuntu.

En la primera instalación la red fue muy lenta, tardó más de tres horas. Moraleja: no dejes que seleccione es.ubuntu.com como mirror, edítalo a mano y pon archive.ubuntu.com, con éste me llegaba a 720 KB/seg por mi conexión de ONO.

Cuando llegó casi al final dió un error al instalar el GRUB. No hubo forma. Intenté con el LILO, el mismo problema. Parece que el instalador beta todavía tiene conflictos con algunos discos sata, al menos si se instala vía red.

Como había puesto una sola partición enorme (de 120 GB) con JFS pensé que podría ser eso. Así que comienzo de nuevo (ahora sí con archive.ubuntu.com, fue mucho más rápido), creé una partición /boot de 300 MB con ext3, pero el error fue exactamente el mismo.

Así que al final terminé haciendo otra cosa que me permitió instalar la Hardy correctamente.

Me bajé el instalador de Gutsy, que sé que funcionaba correctamente, pero sólo hice una instalación mínima con el comando “cli” al inicio de la instalación (así instala sólo lo básico). Esta instalación fue muy rápida, menos de 20 minutos, y dejó al ordenador funcionando correctamente en modo texto.

Una vez hecho esa, edité el sources.list para cambiar de gutsy por hardy. Hice un dist-upgrade que tomó unos diez minutos. Quería probar si así persistía el problema del bajo rendimiento del disco. Reinicié… y todo fue perfecto, el disco iba a su velocidad normal. No entiendo muy bien por qué fallaba antes sólo puedo echarle la culpa a algún módulo, u opción de módulos, heredados de la Gutsy.

Luego hice un aptitude install ubuntu-desktop y en menos de media hora pude tener todo instalado nuevamente… aunque a esa hora ya se veía el sol desde mi ventana.

Bonus

Bueno, como disculpas para este boboapunte daré algo útil, unos pequeños scripts ACPI que ayudarán a bastantes que tengan el X61 (o modelos similares). La Hardy beta soluciona varios problemillas, por ejemplo ya instala por defecto el driver libre de Intel iwlwifi, pero tiene otros. De todas formas hay dos temas que no estaban bien solucionados en la Gutsy y siguen igual.

Uno es el de intercambiar la salida de vídeo entre el LCD y el conector VGA externo. En Hardy si se da al botón <Fn><F7> ya es capaz de habilitar la salida “clon” al VGA, pero sólo hace eso, no intercambia (toggle) la salida entre LCD, LCD+VGA, VGA. Los scripts incluidos en x61-video-toggle.tgz ya lo hacen. Debería funcionar correctamente en cualquiera de las últimas Ubuntu (probado en Gutsy y Hardy). Para instalarlo basta bajarlo y hacer:

sudo tar xvzf x61-video-toggle.tgz -C /

Luego un /etc/init.d/acpid restart et voilà (pero si te gusta o te deja más tranquilo el método Redmond, puedes reiniciar el ordenador). Recomiendo instalar el paquetes gnome-osd para que veáis el estado en la pantalla.

Otro problema que tengo resuelto es de arrancar automáticamente la conexión 3G/HSDPA con el chip incluido. Eso lo tengo solucionado con <Fn><F9>, originalmente es para expulsar el CD, pero como no tengo la estación base la aprovecho para ahorrarme el trabajo de apagarla o arrancarla con el wvdial. Los scripts están en x61-wan-toggle.tgz. Se extrae igual que el anterior:

sudo tar xvzf x61-wan-toggle.tgz -C /

También funciona en Gutsy y Hardy. Para que funcione necesita del /etc/wvdial.conf correcto, como no quiero que os carguéis nada, os paso cómo está el mío, es importante que tenga el dialer “3G” definido:

[Dialer Defaults]
Phone =
Username =
Password =
New PPPD = yes

[Dialer 3G]
Init2 = ATZ
Init3 = ATE0V1&D2&C1S0=0+IFC=2,2
Modem Type = Analog Modem
Baud = 460800
Stupid Mode = 1
Modem = /dev/ttyUSB0
ISDN = 0
Modem Type = Analog Modem
Init5 = AT+CGDCONT=1,"IP","ac.vodafone.es";
Phone = *99***1#
Username = vodafone
Dial Command = ATDT
Password = vodafon

La beta de Hardy tiene dos pequeños problemas con el acpi del X61.

• No ajusta el brillo de la pantalla con las teclas <Fn><Inicio> y <Fn><Fin>.
• No “detecta” la tarjeta 3G/HSDPA (no se enciende el led).

Arreglarlo es fácil, sólo hay que indicar al módulo thinkpad_acpi que permita ajustar el brillo de la pantalla y que habilite la extensiones experimentales. Yo lo hice creando el fichero /etc/modprobe.d/x61 con la siguiente línea:

# Habilita brillo y wan
options thinkpad_acpi experimental=1 brightness_enable=1

Vale, no me ha quedado un apunte tyan bobo, aunque tampoco es un tratado sobre la ingeniería del software, lo siento, cuando hice la carrera no me enseñaron Ubuntu ni Linux

Hoy quería hacer una pequeña demo en clase de Administración de Sistema Operativos… la hice, y funcionó. El resultado es una muy pequeña mejora al un artículo de la Wikipedia. Pero lo importante no es la pequeña edición del texto, sino cómo se hizo.

La edición la hice abriendo el fichero con el vim en mi portátil, hice el :w y fuimos a ver la modificación. Allí estaba, como por arte de magia… qué buen hack, son unos frikis

En los últimos días varias personas con servidores propios –fundamentalmente de wordpress– me pidieron ayuda para reducir la carga de sus servidor o mejorar los tiempos de respuesta. Una de las últimas frecuentes era “porqué a veces la carga del servidor subía mucho”. Asumiendo que el servidor está bien configurado y balanceado [1], el problema suele ser por los “bots demasiado agresivos”.

[1] Ver abajo Diez reglas básicas para servidores web bien ajustados

El aumento del ancho de banda en las conexiones hogareñas, las pruebas “académicas” y de prácticas desde universidades –en España sus líneas suelen superar creces los 100 Mbps– y los bots de los harvesters de spammers hace que debamos también monitorizarlos e impedir que su molestia sea persistente.

Aunque hay métodos en las iptables y Apache para controlar el número de conexiones –connection throttling– a veces es muy difícil encontrar un valor adecuado sin que genere problemas a conexiones válidas. Incluso puede haber problemas de memoria –de las iptables, que las asigna en el espacio del kernel– en servidores que no tienen suficiente.

Por ello a veces es más fácil analizar los logs de Apache en situaciones de alta carga para detectar desde qué direcciones IP se están haciendo tantas conexiones y agregar una regla a las iptables para hacer in drop a paquetes desde esa dirección.

En Menéame es bastante habitual que nos aparezca un bot de estos y que sus conexiones duren bastante tiempo mientras recorre absolutamente todos los posibles URLs. Como estos son centenares de miles, la “agresión” suele durar horas o días, así que me preparé un pequeño script en Python que me permite analizar el número de conexiones desde cada IP.

#! /usr/bin/python

import fileinput
import re

to_ignore = ['/img/', '/js/', '/css/'] # Los cgi o directorios a ignorar
ips = {}; res = []

try:
    for s in to_ignore:
        res.append(re.compile(re.escape(s)))
    for line in fileinput.input():
        words = line.split()
        for r in res:
            if r.search(words[6]): break
        else:
            try: ips[words[0]] += 1
            except KeyError: ips[words[0]] = 1
    tuples = ips.items()
    tuples.sort(lambda (k1,v1),(k2,v2):cmp(v2,v1))
    for ip, counter in tuples:
        print '%-8d\t%s' % (counter, ip)
except IOError:
    pass

El programa anterior analiza el logs del apache desde la entrada estándar o los ficheros que se indiquen en la línea de comandos e imprime una tabla de números de conexiones de cada IP.

Yo lo suelo usar de la siguiente forma:

tail -1000000 /var/log/apache2/meneame_net.access.log | ./freq-ip.py | less

aunque también se puede hacer:

./freq-ip.py fichero1.log fichero2.log …

Nota: aunque el ejemplo es con las últimas 1.000.000 de líneas, elige un valor adecuado a tu servidor, por ejemplo si te interesa analizar los últimos 5 minutos y tienes unas 100.000 conexiones en ese período, ese es el valor que debes poner como argumento del tail.

El resultado es una tabla ordenada de mayor a menor, por ejemplo:

22759           66.249.72.103
914             62.43.58. xxx
837             84.77.96.xxx
645             89.248.99.xx
522             65.214.44.xx
486             89.17.210.xx
483             72.14.199.xx
...

Las IPs que aparecen primeras son las sospechosas de bot agresivos, pero hay que analizarlas con el whois para asegurarse. En el resultado anterior se puede observar claramente que la dirección 66.249.72.103 es sospechosa, pero en este caso no hay que hacer nada porque es el bot de Google (el de búsquedas y el del AdSense). Pero si se trata de una IP que no pertenece a ningún buscador o directorio conocido, o que viene de países como China o Ucrania, seguramente se trate de un bot incontrolado o mal programado.

En todo caso siempre conviene analizar el historial de los logs para asegurarse:

tail -1000000 /var/log/apache2/access.log | grep ^66.249.72.103 | less

Una vez que estés seguro que quieres evitarle los accesos, basta agregarlo en las iptables. Yo tengo preparado un script que lee las IP “prohibidas” desde un fichero y ejecuta los comandos de las iptables:

#! /bin/sh

iptables -F

# START Drops from ip_forbiden
for ip in `cat /DIRECTORIO/ip_forbiden` ## AQUI el pathname del fichero
do
    if [[ "$ip" =~ "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" ]]
    then
        echo Dropping $ip
        iptables -i ethX -A INPUT -s $ip  -j DROP ### AQUI la interfaz que corresponda, eth0 o eth1, etc.
    fi;
done
# tus reglas propias
...

Diez reglas básicas para servidores web bien ajustados

Al principio mencioné que primero debemos asegurarnos que el servidor web está bien configurado y ajustado para nuestras necesidades. En realidad no es tan difícil ajustar los parámetros básicos del Apache.

1. Asegúrate verificando en el error.log si el Apache no llega al número máximos de procesos. Si es así debes incrementar el máximo, por ejemplo: MaxClients 150
2. Algunas distribuciones, como Debian, tiene el máximo “absoluto” en 256 procesos, si necesitas más debes cambiarlo: ServerLimit 512
3. Habilita el KeepAlive, pero ponle un timeout bajo: KeepAliveTimeout 2
4. StartServers debe tener un valor adecuado, que sea ≥ que MinSpareServers y ≤ que MaxSpareServers. Por ejemplo : StartServers 40, MinSpareServers 30, MaxSpareServers 50
5. MaxSpareServers debe ser mayor en al menos un 50% el valor de MinSpareServers.
6. El PHP puede consumir mucha memoria en algunas conexiones (subida de ficheros, compilación de muchos módulos, etc.) y no las libera hasta que “muera” el proceso. Por eso es mejor que los procesos de Apache tengan una “vida limitada” para permitir liberar esa memoria que no se necesita: MaxRequestsPerChild 10000. Ajusta el valord de 10.000 a tus propias necesidades, si tu servidor tiene muchas conexiones puedes subirlo, por ejemplo a 1.000.000 como en el caso del Menéame.
7. Para saber mejor cuál es el problema de tu servidor usa los comando top y vmstat 2. El primero te dará el uso de CPU de los procesos, si es el mysqld el que aparece con casi el 100% de CPU, el problema es de base de datos, por el contrario se trata del PHP. El vmstat te dará más pistas, si los valores de la columna wait (la última, wa) son altos, es porque necesita mucha entrada salida, necesitas más memoria RAM. Si por el contrario las valores de la columna idle (la penúltima, id) son muy bajos necesitas más CPU.
8. El WordPress no es un gran consumidor de CPU en base de datos (a menos que ésta sea inmensa), sino de CPU para compilar todos los módulos para cada conexión. Si tu problema es de carga alta de CPU lo más probable es que necesites usar “cache” de PHP compilados, por ejemplo el eaccelerator.
   • Si tienes instalado el WP-Cache, éste evita que se tengan que compilar todos los módulos en el caso de encontrarse la página en cache.
9. Si el el Mysql del WordPress te consume mucha CPU lo más probable es que sea algún plugin (especialmente esos que guardan estadísticas en la base de datos) o que tengas muy poca memoria RAM disponible para cache de disco. Pero primero analiza o deshabilita los plugins sospechosos.
10. Si has desarrollado tu propio programa y el Mysql te consume mucho, tienes problemas de SQLs, índices o problemas de estructura de la base de datos. recuerda la regla de oro en programas web con base de datos (general para cualquier gestor): debes evitar a toda costa los recorridos secuenciales en las tablas. Para eso debes ser muy cuidadoso en la creación de los índices adecuados o de cómo haces las consultas SQL. Si no puedes asegurarte de ello tienes dos opciones primordiales para el caso que las modificaciones a las tablas no sean muy frecuentes:
    1. Jugar con los valores de cache de queries sql en el propio gestor (query_cache_size y query_cache_type en el Mysql).
    2. Usar memcached.

No entiendo nada

Si lo que te comento arriba te suena a chino:

• Quizás no deberías haber contratado un servidor dedicado si eres capaz de administrarlo y ajustarlo, o
• deberías estudiar un poco de administración de servidores, especialmente del Apache, MySQL e iptables, o
• podrías pedir ayuda a un amigo, o menor aún para evitar la proliferación de pringaos, contrata a un amigoo conocido de confianza por unos 50-60 euros la hora (tarifa española más o menos adecuada) que sepa del tema y te ajuste el servidor. Si tiene que hacer todo lo que explico aquí, le llevará más o menos una hora para ajustar, y monitorizar para asegurarse que los valores son adecuados.

Apenas acabé mis examenes de la carrera de ingeniería en informática (había comenzado en 1984, eran 11 cuatrimestres, cinco años y medio) me fui al Centro Atómico Bariloche para realizar mi proyecto final de carrera. Desde enero de 1990 y durante un año y medio estuve rodeado de físicos e ingenieros nucleares. Allí pasé un período bastante duro de casi depresión al darme cuenta lo poco que sabía de informática [1]. Nos habían lavado tanto el cerebro en la universidad –privada– que pensábamos que éramos los amos del mundo mundial. Poco tardé en darme cuenta que en realidad no sabía nada.

[1] Afortunadamente en esas épocas la ignorancia no nos hacía tan intrépidos, no se nos ocurrió pedir regulación o colegios informáticos para suplir las deficiencias.

Pero también fue la mejor época de mi vida –una vez superada la “depresión” y despiste inicial de los primeros seis meses–, allí aprendí realmente lo que es pasión por la investigación, la profesión, la obsesión y el placer de programar. También allí fue donde más aprendí por unidad de tiempo. En un año y medio no sólo hice mi PFC dominando sus temas específicos, también aprendí programación orientada a objetos, lo básico de teoría control, simulación no lineal, telecomunicaciones (empezamos a instalar las conexión Internet del centro vía satélite), Prolog, Smalltalk, C, C++, a programar administrar máquinas gordas para su época (Vax y MicroVax con VMS, Sun con SunBSD), a controlar a fondo el Unix, etc. etc. Todo gracias a esos “físicos”. Por eso siempre que alguien critica al “intrusismo” de los físicos en nuestro campo me cabrea sobremanera. No es sólo por la historia contrastable de la informática, también es por mi historia personal.

De las “malas experiencias” recuerdo una en especial, cuando fuimos en grupo a ver la película La caza del octubre rojo. Éramos unas 15 personas, todos ellos físicos o ingenieros nucleares, y se pasaron toda la película hablando y discutiendo si los sistemas de detección de submarinos lo hubieran implementado con la transformada rápida de Fourier o con wavelets. Fui una terrible experiencia multimedia, 18 años después lo sigo recordando :-). Pero eso me despertó tanta curiosidad que estudié qué era la transformada de Fourier y la elegante y espectacular optimización algorítmica [2] de la transformada rápida.

[2] Si alguien está interesado en artículos de los “maestros informáticos” sobre temas de diseño de software y optimización, recomiendo el libro Beatiful Code.

¿A qué viene todo esto?

Esta mañana me puse a leer mis suscripciones y el Menéame, y cada vez encuentro más copy&pastes y fusiles de otros sitios, uno de ellos me llevó seguir cuatro vía o visto en encadenados para encontrar el original. Eso me hizo acordar de un chiste que se hacían los físicos:

Si se apilaran todos los papers de física que se publican, la velocidad de crecimiento de la pila superaría la velocidad de la luz. Pero no hay contradicción de las leyes de la física, no llevan información.

Sólo por sacar algo que no se hablará en las tertulias televisivas o de radio.

• ¿Cómo influyó el canon en los votos de más o menos a los partidos? ¿cuánto tuvo que ver esta “traición” de IU con su descalabro? Mi apuesta era que iba a influir en unos cuantos cientos miles de votos.
• Relacionado con lo anterior, ¿qué hacía Victor Manuel en el palco del PSOE? ¿era él?
• No todo es culpa del bipartidismo. Según el sistema español por circunscripciones, vale más ser un partido fuerte en una o pocas circunscripciones –o comunidades– que intentar conseguir resultados mediocres en todas. Los datos comparativos de IU/EU, ERP, PNV, CiU y hasta UPyD lo confirman. Es una buena noticia, el “carácter regional” es importante. La mala es que sólo las comunidades grandes pueden tener representación “regional” en el estado.
• A diferencia de años pasados, la web de las elecciones ha funcionado muy bien, cargaba rapidísimo. Sólo se echa de menos que hagan cosas de tiempo real como la fisgona ¿todavía no han oído habla de “ajax”?

No sé, me pareció lo único digno de mencionar de esta cansina campaña que duró cuatro años

Hace unos días contaba los problemas de actualizar mi certificado de la FNMT, y la no-solución que me proponian los del soporte técnico. Pocas horas después Guillem Mateu me escribió con la solución buena, ya tengo mis nuevos certificados. Gracias Guillem

no sé si el problema que tens amb la renovació del certificat és la mateixa que vaig tenir jo, però a mi me van dir que fes el que et passo adjunt i me va anar bé.

sort.

———- Forwarded message ———-

Estimado Sr./Sra.:

En primer lugar le agradecemos el interés demostrado en este proyecto. A continuación intentaremos dar respuesta a su mensaje. En caso de que la información que le facilitamos no sea la que Ud. precisa, no dude en ponerse de nuevo en contacto con nosotros en la dirección fnmtclase2ca@fnmt.es

Descargue el certificado raíz FNMT-RCM desde el siguiente enlace y lo guarda en una ubicación de su disco duro:

https://www.cert.fnmt.es/content/pages_std/certificados/FNMTClase2CA.cer

Abra el navegador Firefox e importe el certificado raíz
- Editar/Preferencias/Avanzado/Cifrado , “Ver Certificados” pestaña de “Autoridades”, pulse importar e importe el certificado raíz que previamente ha guardado. Una vez importado correctamente, lo busca en el listado, lo selecciona y pulsa en Editar, marque los tres propósitos y acepte. Ahora vuelva a intentar usar su certificado en la renovación.

Este servicio de atención al ciudadano prestado por la FNMT-RCM no puede aclarar dudas de carácter tributario. Si este es su caso obtendrá la información deseada en la dirección http://www.aeat.es/ o en el teléfono 901 335 533

Reciba un cordial saludo.

Me llega un mail que mi certificado de la FNMT está a punto de caducar y que debería renovarlo:

1.- Solicitud de renovación, accediendo a http://www.cert.fnmt.es/index.php?cha=cit&sec=renov_cert , en el apartado “SOLICITUD DE RENOVACIÓN” que encontrará en el menú de la izquierda.

Voy a esa página e intento renovar el certificado. Me da errores, les llamo por teléfono, le indico el error y me dicen que me envían un mail con la solución. Aunque ya les había explicado que no era problema de clave maestra del navegador me envían justamente eso:

Los certificados no tienen ningún tipo de clave, toda clave o contraseña es personal del usuario, en su caso la contraseña maestra de los navegadores basados en Mozilla (firefox, mozilla o netscape ) es personal . Por defecto la configuración de estos navegadores es que no esta establecida dicha contraseña, pudiendo el usuario establecerla (no es obligatorio) justo antes de obtener el código de solicitud. Será requerida después cuando intente la descarga.

Les espondo con el siguiente mensaje:

He probado todo (con y sin master password) y no soluciona nada.

He copiado vuestro código fuente en un fichero local y puse llamadas alert() para poder visualizar el error que devuelve el navegador, confirmo que es:

error:internalError

Esto es en Firefox 2.0.0.12 sobre Linux (Ubuntu).

Antes no había tenido problemas con los certificados, de hecho la última declaración de la renta la hice usando los mismos certificados desde un Firefox.

¿Bug del firefox o incompatibilidad con vuestras páginas?

Después de varios días recibo un mensaje que me pide los datos que ya le había enviado:

Necesitamos que nos indique que error le sucede y en que momento le ocurre, así como su sistema operativo y su navegador.

Les respondo nuevamente:

SO: GNU/Linux (Ubuntu Gutsy)
Navegador[*]: Firefox 2.0.0.12

El error ocurre al intentar renovar el certificado.

Selecciono renovar, me salen páginas con mis datos y la opción de cambiar datos.

La última página que me sale es una de aceptación de renovación con dos botones inferiores: “Firmar” y “Enviar”.

Cuando le doy a “Firmar” me sale el menú para confirmar el certificado y poner la “clave maestra” del Firefox, al dar OK el sistema me dice que el navegador no generó una firma válida. Me puse a analizar eso y es el navegador el que retorna siempre “error:internalError”.

[*] En realidad escribí Bavefador

La respuesta final:

Su sistema Windows necesita instalar las librerías CAPICOM de Microsoft. Puede descargarlas desde nuestra web en el siguiente link:

http://www.cert.fnmt.es/index.php?cha=cit&sec=tech_support&page=80

vaya a la sección “Instalable CAPICOM para Windows 95” o “Instalable CAPICOM para Windows 98 y versiones superiores”, pulse en DESCARGA COMPLETA uno u otro dependiendo de la versión de Windows que usted disponga. Pulse ABRIR, acceda a la carpeta CAPICOM W98 y haga doble clic sobre “CAPICOM.exe” o “CAPICOM”. Después de la descarga ejecute el “capicom.exe”. Cierre todo las páginas del navegador y vuelva a abrir una página nueva de Internet.

.. [isguen instrucciones para configurar el IE6 e IE7]

¿Me toman el pelo?