Cross-Origin Request Blocked and firefox

[tsiakmaki]

Dear all,

we have been using autofirma with esing-cert alfresco pluging with success.
But lately we cannot sign documents through alfresco from Firefox. At its console we are getting:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://127.0.0.1:55088/afirma. (Reason: CORS request did not succeed).
Do you have any ideas on how could we fix it?

Firefox: 61.0.2 (64-bit)

IE and Chrome works fine.

Thanks in advanse for your answer and thank you for your code contribution.

[Gamuci]

I haven't any problem signing with AutoFirma and Firefox 62 (64 bits).

Can you check the Firefox TrustStore? Is the "AutoFirma ROOT" certificate there?

[matiasburni]

Duplicate of #43

[MLopez-Ibanez]

Mismo problema en Ubuntu 18.04

Funciona en Chromium pero no en Firefox 67.0 (64-bit). El certificado está ahí pero parece que firefox no puede conectar con autofirma:

https://valide.redsara.es/valide/firmar/ejecutar.html
https://preinterweb.mitramiss.gob.es/autoAfirmaTest/

ambos me dicen que no se puede conectar con AutoFirma.

[pr-apes]

Hola @MLopez-Ibanez,

a mi me pasaba lo mismo, pero al instalar el certificado raíz de Autofirma (como explica @Gamuci) comenzó a funcionar perfectamente.

En mi caso era firmar en https://rec.redsara.es (vamos, el Registro Electrónico Común 😁).

¿No te funciona a ti con eso?

[MLopez-Ibanez]

Tengo ya el certificado raíz de AutoFirma y no me funciona. He probado a desinstalarlo y añadirlo a mano otra vez y tampoco funciona.

[pr-apes]

@MLopez-Ibanez,

a mí me funcionan tus dos referencias (lo acabo de comprobar).

Repaso mis detalles de configuración:

• Windows 7 64bit.
• AutoFirma 1.6.5.
• Firefox Quantum 67.0.
• C:\Program Files\AutoFirma\AutoFirma\AutoFirma_ROOT.cer.

Lo he tenido que instalar a mano. En mi caso, no se instaló en Firefox (por una configuración especial). Como autoridad certificadora está con todas las opciones seleccionadas.

Voy a probar a desinstalar el certificado y volverlo a instalar. Y te cuento.

En todo caso, no sé si te interesaría comprobar si LinuxAE te funciona.

[pr-apes]

@MLopez-Ibanez,

como he comentado en #43, si desinstalo el certificado AutoFirma_ROOT.cer, es imposible conectarse a AutoFirma (la consola me da el error;

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource
at https://127.0.0.1:60174/afirma. (Reason: CORS request did not succeed).

Pero si lo vuelvo a instalar, todo funciona perfectamente.

[MLopez-Ibanez]

@pr-apes

Pero si lo vuelvo a instalar, todo funciona perfectamente.

Lo tengo instalado. Lo he borrado y vuelto a instalar "a mano" y me da el mismo error.

[pr-apes]

@MLopez-Ibanez, voy a intentar probarlo con una versión live de Debian. Pero no sé cuánto tiempo me va a llevar.

No sé si los enlaces mencionados en #61 (comment) influyen.

[pr-apes]

@MLopez-Ibanez,

perdón, me acabo de dar cuenta de que es Ubuntu lo que usas.

Será lo que probaré.

[alfem]

Ayer hice un 'mapa' de todo lo que hay que coordinar para que Autofirma funcione. A lo mejor os da una pista:

https://github.com/alfem/firefirma

[rafaelmgallego]

Bajo Ubuntu 19.10, me funciona en Escritorio, pero no en navagadores (ni firefox ni chrome). Despues de leer el diagrama de @alfem en https://github.com/alfem/firefirma (antes probé todo lo recomendado en este y cientos de foros, salvo encender una vela a San Judas Tadeo), y que decía que la versión 1.6.5 "va bien con Java 11", probé a cambiar a java-11-openjdk y VOILA, como una seda ¡albricias! Gracias a todos y especialmente a @alfem

[rafaelmgallego]

A la vista de ese mapa de @alfem, y dentro de mi ignorancia, ¿no sería posible hacer una web que pudiera diagnósticar la instalación de AutoFirma? Para mí es una herramienta imprescindible (gracias a los desarrolladores) y me da muchos quebraderos de cabeza cada vez que cambio de ordenador o lo que sea y tengo que instalarla.

[erm3nda]

Que bien elaborado está ese diagrama @alfem, me gusta.
Sólo le ha faltado tal vez un pozo para tirarse de cabeza y unas mazmorras para los de seg-gov.

@rafaelmgallego, ya te han dado dos webs que diagnostican (mediante el intento de uso) la instalación:
https://valide.redsara.es/valide/firmar/ejecutar.html
https://preinterweb.mitramiss.gob.es/autoAfirmaTest/

Creo que más bien quieres un programa local que verifique que todos los componentes están instalados, los handlers seteados en las preferencias, etc. Aunque eso suceda, no puede garantizar su funcionamiento. La prueba de fuego es lanzarlo y que la página verifique que se ha firmado dicho documento.

Yo he logrado por FIN tramitar algo usando Firefox 68 en Manjaro. Verifico que funciona con openjdk-11-jdk, no hace falta que sea el java de Oracle.

He tenido que marcar como "solo lectura" toda la carpeta de firefox68 para que no se actualizara (renombrar update no sirvió, menudo engaño). Lancé firefox con el comando ./firefox -profile ./portable (creamos la carpeta primero) para que no colisionase con el profile del firefox normal.

A veces sucede que al instalar el ROOT_Certificate.crt no chequeamos ambas casillas de los permisos.

Yo recomiendo a cualquier persona un Linux cualquiera que contemple el uso Live y la persistencia de datos, e instalar ahí el Firefox/browser de turno y sus certificados. Y proteger ese Live con contraseña. Tails integra persistencia con contraseña, por ejemplo, podrían servir Kanopix o Slitaz también. También serviría simplemente realizar la instalación en el pendrive, pero la idea del Live es poder cargar el sistema en ram y no reventar la memoria del usb con el uso.

A mi me parece un rollo estar haciendo esto con cada ordenador. Un colgajo más en el llavero (el usb) y listo, no tengo ni que ir a mi ordenador para funcionar.

Un saludo.

[olivergs]

En mi caso el problema ha sido la instalación del certificado ROOT Autofirma que parece que no se hace correctamente. Lo he instalado manualmente y a partir de ahí parece que ha funcionado. Aún no he realizado una firma real, pero al menos ya me solicita que elija el certificado que quiero usar para firmar.

[lorenzogrv]

Hola,

En este caso tuve que afrontar este mismo problema en un equipo con Linux Mint.

Se trataba de una tramitación a través de la sede de la Xunta de Galicia, que también dispone de una prueba de firma online https://sede.xunta.gal/solicitudes/cumplimentacion/firma/pruebaFirma.do

Las consolas de Chrome y Firefox mostraban múltiples peticiones XHR rechazadas por el mencionado problema de CORS.

Despues de leer los consejos que compartís aquí y consultar el excente mapa de alfem, probé a importar el certificado Root de autofirma que encontré en /usr/lib/Autofirma/Autofirma_ROOT.cer en los almacenes de certificados de ambos navegadores y pude solucionar el problema en ambos navegadores.

Gracias por los tips,
L.

[jonsito]

Tras actualizar a Fedora 34 autofirma vuelve a fallar con el error Cross-Origin.

• Fedora 34 actualizado desde Fedora 33, donde SI conseguí hacerlo funcionar tras mucha desesperación
• Firefox 88
• OpenJdk 11
• Autofirma 1.6.5-1
  He descargado, instalado y ajustado los permisos del certificado root. Varias veces
  He comprobado que solo tengo un perfil en firefox
  He comprobado que el certificado de autofirma es el mismo que el que figura en firefox
  He seguido todas las instrucciones que figuran en https://github.com/alfem/firefirma
  He probado también la opción de autofirma de "Herramientas -> restaurar instalación"
  He probado incluso a poner un enlace /usr/lib/autofirma a /usr/lib64/autofirma ( que es donde realmente se instala en Fedora )

Sigo sin poder firmar desde el navegador desde que actualicé a Fedora 34
Por cierto, con chrome tampoco funciona, aunque al menos aparece una ventana pidiento autorización para ejecutar "xdg-open"

Cansado
Juan Antonio

[lorenzogrv]

Tenemos un problema similar en la oficina desde hoy, donde todos los puestos emplean Mint.

Lo primero que probé dados los síntomas fue la solución que propongo en mi comentario anterior, pero sin éxito. Aún estoy diagnosticando, pero en una primera comprobación he determinado lo siguiente:

• Mint 20.x, Firefox 88.0.1 → Las solicitudes se deniegan por CORS. Cargar el certificado raíz manualmente no ha servido.
• Mint 18.x, Firefox 88.0.1 → Se logra abrir la ventana de selección de certificados pero aparece vacía. Sólo existe un perfil de firefox, y no es posible cargar manualmente una firma.
• Mint 18.x, Firefox 88.0 → Se logra abrir la ventana de selección de certificados, aparentemente funciona sin problemas

---

UPDATE
Pude comprobar en el equipo con Mint 18.x y Firefox 88.0.1 que el problema no es generalizado. En este equipo concreto funciona con la prueba de firma de xunta.gal, pero falla en la de ciertos organismos derivados como inega.gal

No me sorprende demasiado que falle en INEGA debido a que intentando a https://inega.gal/ parece que están usando los certificados SSL de *.xunta.gal 🤦

En el equipo con Mint 20.x, Firefox 88.0.1 no he logrado nada - he probado algunas cosas de la lista que comenta @jonsito - pero con Chrome funciona, incluso en la sede aparentemente poco confiable. Lo más cercano a un mensaje de error que he conseguido haciendo pruebas con Firefox:

may 07, 2021 6:06:47 PM es.gob.afirma.standalone.ui.restoreconfig.RestoreConfigFirefox execCommand
INFORMACIÓN: Salida de error:
certutil: could not find certificate named "SocketAutoFirma": SEC_ERROR_INVALID_ARGS: security library: invalid arguments.

may 07, 2021 6:06:47 PM es.gob.afirma.standalone.ui.restoreconfig.RestoreConfigFirefox execCommand

[jonsito]

SOLVED

UPDATE: !!he conseguido hacerlo funcionar!
Gracias a esta página:
https://www.autoaprendizaje.es/2020/11/14/solucion-error-protocolo-desconocido-afirma-en-autofirma-para-linux/

Temas en Fedora 34:

• Añadir #!/usr/bin/bash al comienzo del script /usr/bin/autofirma
• En about:config el protocolo afirma:// estaba correctamente puesto. no hace falta tocar nada
• Hay que añadir el mimetipe en el fichero autofirma.desktop
• Poner enlace simbólico de /usr/bin/autofirma a /usr/bin/AutoFirma <- ( o bien poner el nombre correcto en autofirma.desktop )
• Añadir el x-scheme-handler en /usr/share/applications/mimeapps.list y reiniciar la base de datos de esquemas

Una vez hecho esto., la página https://valide.redsara.es/valide/firmar/ejecutar.html funciona sin problemas tanto en firefox como en Chrome. ( aunque en chrome sigue pidiendo permiso para ejecutar xdg-open )

No debería ser demasiado dificil tener todas estas cosas en cuenta para una próxima revisión :-(
Espero que sea de ayuda

Juan Antonio

[carlosdiaz2017]

Ayer hice un 'mapa' de todo lo que hay que coordinar para que Autofirma funcione. A lo mejor os da una pista:

https://github.com/alfem/firefirma
Al autor de esta appimage, quiero darle las gracias de verdad. Esto tiene un curro, y encima hacerlo una appimage!!

Como otros comentarios anteriores, estoy un poco harto de arrancar la maquina virtual de windows para hacer estas cosas porque en linux (Kubuntu y Ubuntu) no soy capaz de hacer la firma con nuestro navegador habitual firefox y siempre, siempre desde hace años, tengo problemas con una cosa o la otra.

He probado la appimage de FireFirma para firmar en la plataforma general del estado (registro) y ha funcionado a la perfección!!

Kudos, likes y lo que haga falta para este desarrollador.

[alfem]

Kudos, likes y lo que haga falta para este desarrollador.

Pues gracias por la parte que me toca :-)

Realmente sí que se puede firmar con Linux sin ningún problema (yo lo hago con frecuencia), pero como algo haya ido mal en la instalación de AutoFirma, diagnosticar el fallo y echarla a andar tiene su miga. Y las combinaciones de navegadores, perfiles de usuario, versiones de Java instaladas o activas... es casi infinita.

El Appimage es para ponerlo en la vitrina con el letrerito: 'Rómpase en caso de que haya que firmar con urgencia y no haya forma' :-D

[Roman2K]

• Añadir el x-scheme-handler en /usr/share/applications/mimeapps.list y reiniciar la base de datos de esquemas

Gracias @jonsito, era lo que me faltaba!