Configuración avanzada de Firefox para certificados digitales: AutoFirma, perfiles y empresa

¿Ya tienes Firefox funcionando con certificados digitales pero necesitas configuración avanzada? Esta guía cubre AutoFirma, gestión de múltiples perfiles, contraseña maestra y configuraciones empresariales.

💡 Prerrequisito: Esta es una guía avanzada. Si tu certificado aún no funciona en Firefox, consulta primero nuestra guía básica de solución de problemas en Firefox.

Configuración de AutoFirma en Firefox

Problema: Firefox no detecta AutoFirma automáticamente

A diferencia de Chrome o Edge, Firefox requiere configuración manual para integrar AutoFirma:

• Firefox usa su propio almacén NSS independiente del sistema
• No detecta automáticamente módulos PKCS#11 del sistema
• Requiere configuración específica del módulo de seguridad

Solución: Configurar módulo PKCS#11

Paso 1: Verificar instalación de AutoFirma

En Windows:

# Verificar que AutoFirma está instalado
dir "C:\Program Files\AutoFirma\AutoFirma.exe"

# Verificar que el servicio local está funcionando
netstat -an | findstr :63117

En macOS:

# Verificar instalación
ls -la /Applications/AutoFirma.app/

# Verificar servicio
lsof -i :63117

En Linux:

# Verificar instalación
which autofirma

# Verificar servicio
ss -tlnp | grep 63117

Paso 2: Cargar módulo en Firefox

1. Firefox → Preferencias → Privacidad y seguridad
2. Sección Certificados → Dispositivos de seguridad
3. Hacer clic en Cargar
4. Configurar:
   • Nombre del módulo: AutoFirma FNMT
   • Archivo del módulo:
     • Windows: C:\Program Files\AutoFirma\AutoFirma.dll
     • macOS: /Applications/AutoFirma.app/Contents/Resources/AutoFirma.dylib
     • Linux: /usr/lib/autofirma/AutoFirma.so

Paso 3: Verificar configuración

1. En Dispositivos de seguridad, expandir “AutoFirma FNMT”
2. Verificar que aparecen los certificados disponibles
3. Probar con una página que requiera firma digital

Troubleshooting de AutoFirma

Error: “Módulo no se pudo cargar”

Solución en Windows:

# Verificar que las DLL están disponibles
dir "C:\Program Files\AutoFirma\*.dll"

# Registrar nuevamente AutoFirma
cd "C:\Program Files\AutoFirma"
regsvr32 AutoFirma.dll

Error: “No se encuentra el servicio local”

Solución:

1. Cerrar Firefox completamente
2. Ejecutar AutoFirma como administrador
3. Verificar que el puerto 63117 está abierto
4. Reiniciar Firefox

Gestión avanzada de perfiles Firefox

Crear perfiles especializados para certificados

Perfil para trámites oficiales

Crear perfil dedicado:

# Cerrar Firefox completamente
firefox.exe -ProfileManager

# O usar línea de comandos para crear perfil
firefox.exe -CreateProfile "Certificados C:\FirefoxProfiles\Certificados"

Configurar perfil optimizado:

1. Instalar únicamente certificados FNMT necesarios
2. Desactivar extensiones no esenciales
3. Configurar about:config específico para certificados
4. Bookmark solo páginas oficiales (Hacienda, Seguridad Social, etc.)

Perfil empresarial con múltiples certificados

Para gestores con varios certificados:

firefox.exe -CreateProfile "Empresa C:\FirefoxProfiles\Empresa"

Configuración específica:

• Certificado personal del gestor
• Certificados de representación empresarial
• Certificados de diferentes empresas
• Configuración de proxy empresarial si es necesario

Automatizar lanzamiento de perfiles

Script para Windows (.bat):

@echo off
echo Selecciona el perfil:
echo 1. Personal
echo 2. Empresa
echo 3. Trámites oficiales
set /p choice=Introduce opción (1-3):

if %choice%==1 start firefox.exe -P "Personal"
if %choice%==2 start firefox.exe -P "Empresa"
if %choice%==3 start firefox.exe -P "Certificados"

Script para macOS/Linux (.sh):

#!/bin/bash
echo "Selecciona perfil Firefox:"
echo "1) Personal"
echo "2) Empresa"
echo "3) Certificados oficiales"
read -p "Opción: " choice

case $choice in
    1) firefox -P "Personal" ;;
    2) firefox -P "Empresa" ;;
    3) firefox -P "Certificados" ;;
esac

Configuración de contraseña maestra

Activar contraseña maestra

Propósito: Proteger todas las claves privadas almacenadas en Firefox.

1. Preferencias → Privacidad y seguridad
2. Contraseñas → Usar contraseña maestra
3. Establecer contraseña segura (mínimo 12 caracteres)
4. Confirmar contraseña

Configuración avanzada de seguridad

Timeout de contraseña maestra

// En about:config
security.ask_for_password = 2; // Solicitar cada vez
signon.masterPasswordReprompt.timeout_ms = 900000; // 15 minutos

Configuración de almacén NSS

// Configuración de cifrado del almacén
security.tls.version.min = 3; // TLS 1.2 mínimo
security.ssl3.rsa_des_ede3_sha = false; // Desactivar cifrados débiles
security.ssl3.dhe_rsa_aes_128_sha = false;

Configuración empresarial y política

Deployment empresarial con certificados

Archivo policies.json para Windows

Ubicación: C:\Program Files\Mozilla Firefox\distribution\policies.json

{
  "policies": {
    "Certificates": {
      "ImportEnterpriseRoots": true,
      "Install": ["cert1.cer", "cert2.cer"]
    },
    "SecurityDevices": {
      "AutoFirma": "C:\\Program Files\\AutoFirma\\AutoFirma.dll"
    },
    "Preferences": {
      "security.default_personal_cert": "Ask Every Time",
      "security.tls.version.min": 3
    },
    "DisableAppUpdate": false,
    "DisableFirefoxStudies": true,
    "DisableTelemetry": true
  }
}

GPO para Active Directory

Templates administrativos para Firefox:

1. Descargar ADMX templates de Mozilla
2. Importar en Group Policy Management
3. Configurar políticas de certificados
4. Aplicar a OUs específicas

Configuración SCEP (Simple Certificate Enrollment Protocol)

Para entornos empresariales grandes

// about:config - Configuración SCEP
security.OCSP.enabled = 1;
security.OCSP.require = true;
security.ssl.enable_ocsp_stapling = true;

Configurar PKI empresarial

// policies.json - PKI corporativa
{
  "policies": {
    "Certificates": {
      "ImportEnterpriseRoots": true
    },
    "DNSOverHTTPS": {
      "Enabled": false
    }
  }
}

Debugging y monitorización avanzada

Logs de certificados en Firefox

Activar logging detallado

// about:config
security.tls.handshake_log = true;

Revisar logs

Windows:

# Logs de Firefox en:
%APPDATA%\Mozilla\Firefox\Profiles\[perfil]\

Archivo de logs específicos:

• cert9.db - Base de datos de certificados
• key4.db - Claves privadas cifradas

Herramientas de diagnóstico

NSS Tools para Firefox

# Listar certificados en base de datos Firefox
certutil -L -d "C:\Users\[user]\AppData\Roaming\Mozilla\Firefox\Profiles\[profile]"

# Verificar certificado específico
certutil -V -u V -d [profile] -n "nombre_certificado"

Análisis de handshake SSL

// about:config - Debug SSL
security.tls.insecure_fallback_hosts = "[lista_hosts_debug]";
security.tls.handshake_log = true;

Configuración avanzada de about:config

Optimizaciones para certificados digitales

// Configuraciones críticas para certificados
security.default_personal_cert = "Ask Every Time";
security.remember_cert_checkbox_default_setting = false;
security.ask_for_password = 2;
security.password_lifetime = 30;

// Configuración de TLS optimizada
security.tls.version.min = 3;
security.tls.version.max = 4;
security.ssl.require_safe_negotiation = false;
security.ssl.treat_unsafe_negotiation_as_broken = false;

// OCSP para validación en tiempo real
security.OCSP.enabled = 1;
security.OCSP.require = false;
security.ssl.enable_ocsp_stapling = true;

// Configuración de ventanas emergentes para certificados
dom.popup_maximum = 20;
dom.disable_open_during_load = false;

Configuración específica para sedes electrónicas

// Compatibilidad con sitios antiguos
security.ssl3.rsa_des_ede3_sha = true;
security.ssl3.rsa_rc4_128_md5 = true;
security.ssl3.rsa_rc4_128_sha = true;

// Configuración de cookies para sesiones largas
network.cookie.lifetimePolicy = 0;
network.cookie.lifetime.days = 90;

// Cache optimizado para formularios largos
browser.cache.memory.capacity = 524288;
browser.sessionhistory.max_entries = 10;

Backup y migración de configuraciones

Exportar configuración completa

# Backup del perfil completo (Windows)
xcopy "C:\Users\[user]\AppData\Roaming\Mozilla\Firefox\Profiles\[profile]" "D:\Backup\Firefox\" /E /I /H

# Backup solo certificados y configuración
copy "cert9.db" "D:\Backup\Firefox\Certificados\"
copy "key4.db" "D:\Backup\Firefox\Certificados\"
copy "prefs.js" "D:\Backup\Firefox\Configuracion\"

Migrar entre equipos

1. Instalar Firefox en el nuevo equipo
2. Copiar archivos de certificados (cert9.db, key4.db)
3. Importar configuración (prefs.js)
4. Reinstalar módulo AutoFirma si es necesario
5. Verificar funcionamiento con una página de prueba

Script de restauración automática

@echo off
echo Restaurando configuración Firefox para certificados...

set PROFILE_PATH=%APPDATA%\Mozilla\Firefox\Profiles
set BACKUP_PATH=D:\Backup\Firefox

copy "%BACKUP_PATH%\cert9.db" "%PROFILE_PATH%\[profile]\"
copy "%BACKUP_PATH%\key4.db" "%PROFILE_PATH%\[profile]\"

echo Configuración restaurada. Reiniciar Firefox.
pause

Troubleshooting avanzado

Problemas con múltiples certificados

Error: Firefox selecciona certificado incorrecto

Diagnóstico:

// Verificar configuración en about:config
security.default_personal_cert;

Solución:

1. Cambiar a "Ask Every Time"
2. Reiniciar Firefox
3. Verificar en página de prueba

Error: Certificado no aparece en lista

Pasos de diagnóstico:

1. Verificar en Dispositivos de seguridad
2. Comprobar módulo AutoFirma cargado
3. Revisar logs de NSS

Problemas con políticas empresariales

GPO no se aplica correctamente

Verificación:

# Verificar políticas aplicadas
gpresult /r

# Ver políticas específicas de Firefox
reg query "HKLM\SOFTWARE\Policies\Mozilla\Firefox"

Conflictos con configuración local

Resolución:

1. Revisar policies.json vs configuración local
2. Eliminar prefs.js conflictivos
3. Reaplicar políticas empresariales

---

Recursos avanzados

Enlaces oficiales de desarrollo

• Mozilla NSS Documentation
• Firefox Enterprise Documentation
• FNMT AutoFirma Documentation

Herramientas de terceros recomendadas

• NSS Tools - Gestión avanzada de certificados
• Firefox ProfileManager - Gestión de perfiles
• CertLM.msc - Gestión de certificados Windows

Comunidad y soporte

• Bugzilla Mozilla - Reportar bugs específicos
• Firefox Enterprise Support - Soporte empresarial
• Foro FNMT - Soporte oficial certificados

📞 ¿Necesitas ayuda específica? Esta configuración avanzada requiere conocimientos técnicos. Si trabajas en un entorno empresarial, considera contratar soporte especializado para la implementación inicial.