Generación de claves con el tag <keygen>

20160510


Nuestro software de gestión de RAs de pkIRISGrid hace uso del tag <keygen> para que los navegadores generen el par de claves a la hora de la solicitud de certificados.

Goggle ha deshabilidado dicha funcionalidad en su navegador Chrome a partir de la versión 49 y nuestro servicio se ve afectado.

  • Anuncio de Google (sección: Keygen and application/x-x509-user-cert)

    The <keygen> element is used to generate a key-pair as part of an HTML form. While this can be used to enhance user security, <keygen> and user certificates sent with the MIME type of application/x-x509-user-cert can be exploited to disrupt a user’s secure communication, interfere with the functioning of their devices, or track the user without consent. Going forward, <keygen> will return an empty string by default and user certificates sent with the MIME type of application/x-x509-user-cert will no longer be automatically downloaded and installed.

  • <keygen> now sends an empty form field

Reactivación de la generación de claves con <keygen>

Podemos realizar esta reactivación de dos formas, a nivel de una página individual o para todas.

Reactivación individual

Existe una forma manual de activar, de forma individual, la generación del par de claves. Para ello hay que pulsar a la izquierda de la URL sobre el candado y seleccionar el item del menú que bloquea la generación de la clave tal y como se muestra en la imagen:

Reactivación global

Alternativamente, el mecanismo puede activarse para todas las páginas desde las preferencias de chrome mediante chrome://settings/content :

Desconocemos hasta qué versión de Chrome estará disponible esta posibilidad de debloqueo.

Están surgiendo alternativas al uso del tag <keygen> y debemos evaluar el esfuerzo a dedicar para ello cuando el servicio pkIRISGrid está en vías de extinción en favor de TCS.

Finalización de pkIRISGrid CA