Autofirma 7.1 falla en linux mint con saf_16 sin proxi con error PKIX path building failed

[oblam]

En linux mint 20.3 con java-11-openjdk-amd64/bin/java Autofirma falla con SAF_16 (SAF_16: Error al recuperar los datos del servidor intermedio) y el error mostrado en el log es el siguiente:

No se pueden recuperar los datos del servidor: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

El record antes del error es:

Intentamos recuperar los datos del servidor con la URL: https://afirmasignature.sededgsfp.gob.es/afirma-signature-retriever/RetrieveService?op=get&v=1_0&id=XXXXXXXXXXX

[ivanrome]

En linux mint 21.1 con openjdk version "17.0.7" obtengo el error SAF_16. No uso proxy para conectarme a internet.

Traza del error javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:131) at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:378)

[olivluca]

Tengo el mismo error en debian 12 (y previamente con ubuntu 20 algo) con autofirma 1.8.2. La "solución" (que no es una solución, pero, bueno, para salir del paso) es desmarcar la opción "Aceptar solo conexiones con sitios seguros", o bien especificar el dominio en la lista de dominios seguros (no he verificado si así funciona, desmarcando la opción sí funciona). He verificado con keytool -list -cacerts y veo que en el almacén de certificados java están tanto el certificado de autofirma como el de la fnmt (el sitio donde me fallaba está certificado por la fnmt).

debian:ac_raiz_fnmt-rcm.pem, 4 d’ag. 2023, trustedCertEntry, 
Certificate fingerprint (SHA-256): EB:C5:57:0C:29:01:8C:4D:67:B1:AA:12:7B:AF:12:F7:03:B4:61:1E:BC:17:B7:DA:B5:57:38:94:17:9B:93:FA
debian:ac_raiz_fnmt-rcm_servidores_seguros.pem, 4 d’ag. 2023, trustedCertEntry, 
Certificate fingerprint (SHA-256): 55:41:53:B1:3D:2C:F9:DD:B7:53:BF:BE:1A:4E:0A:E0:8D:0A:A4:18:70:58:FE:60:A2:B8:62:B2:E4:B8:7B:CB
debian:autofirma_root.pem, 11 de set. 2023, trustedCertEntry, 
Certificate fingerprint (SHA-256): 87:E8:AA:85:BE:44:F7:28:F9:07:D6:73:56:F9:71:05:19:92:0E:0F:78:89:11:18:1A:C0:35:BC:25:85:B3:7A

[olivluca]

Curioso, si uso la pagina de verificación https://valide.redsara.es/valide/firmar/ejecutar.html no me da el error, incluso con la opción marcada y sin poner valide.redsara.es (que también está certificada por la fnmt) en la lista de dominios :confused:

[beandreu]

Pues no sé si es tema de Java más que de Linux, porque tenía el mismo problema con el Autofirma 1.8.0 del MAC M1... o compartimos el problema al ser base UNIX. Yo también veo raro que la página de verificación funcione y por ejemplo el Banco de España no... hace sospechar la seguridad que haya por detrás 🤦🏼‍♀️ ¡Gracias @olivluca por el tip!

[jmespadero]

Confirmo que la solución de Olivluca soluciona el problema "SAF_16: Error al recuperar los datos del servidor intermedio", que por cierto parece estar en un certificado TLS del banco de España.

Para alcanzar la opción "Aceptar solo conexiones con sitios seguros" hay que arrancar el programa Autofirma, pinchar en el menú "Herramientas -> Preferencias" y desmarcar la opción "Aceptar solo conexiones con sitios seguros"