Topic: Come risolvere il problema del token CNS che non funziona con Firefox

[miki64]

Un mio amico ha risolto il problema del token CNS che non funziona con Firefox e mi ha scritto per condividere la soluzione.
--

Se si tenta di entrare nei siti istituzionali tipo INPS o Agenzia delle Entrate con il proprio token
CNS (Carta nazionale dei servizi), non si riesce a farlo.

Da qualche parte c'è quindi una restrizione, ma dove?

Aprire Firefox e andare su "Strumenti / Impostazioni / Privacy e sicurezza / (scorrere molto in basso) Certificati / Dispositivi di sicurezza".
Dovrebbe essere presente il driver del proprio token CNS (di solito è un modulo PKCS#11), correttamente caricato.
Se non è presente, lo si deve aggiungere manualmente:
- fare clic su "Carica";
- inserire la libreria (.dll o .so) solitamente fornita col software della propria CNS (per esempio “bit4xpki.dll”).

Occorre poi disabilitare il Blocco dei Contenuti per i siti istituzionali:
- andare sul sito, per esempio quello dell’Agenzia delle Entrate;
- fare clic sinistro sullo scudetto accanto al lucchetto prima dell’indirizzo, se si vede "Protezione antitracciamento attiva", disattivarla cambiando il segno di selezione. 

Come se non bastasse, la CNS usa spesso pagine Web che necessitano di JavaScript attivo. Occorre quindi assicurarsi di non aver disabilitato JavaScript tramite l'about:config o un'estensione tipo "NoScript".

- Per quanto riguarda l'about:config, digitare about:config nella barra degli indirizzi, cercare javascript.enabled e verificare che la voce sia su true.
A volte l’autenticazione con CNS apre finestre di dialogo: andare su "Struemnti / Impostazioni/ Privacy e Sicurezza / Permessi / Blocca le finestre pop-up" . Aggiungere in "Eccezioni..." i link tipo https://www.inps.it/ o  https://www.agenziaentrate.gov.it/portale/

- Per quanto riguarda le estensioni, controllare le impostazioni di componenti aggiuntivi come NoScript, uBlock Origin, AdBlock Plus, Privacy Badger o HTTPS Everywhere che possono bloccare certificati, script di sicurezza, cookie indispensabili e redirect.

[next]

Grazie per aver condiviso questa soluzione! È una domanda che compare spesso ed avere una soluzione di riferimento è molto utile.

[miki64]

Prego, next! Merito del mio amico, non mio!   

[pegasoc]

Ciao,
ottima guida, nel mio caso mancava la spunta alla voce "Interroga risponditori OCSP per confermare la validità attuale dei certificati" e ho inserito nelle eccezioni il sito per permettere l'apertura dei pop-up che però nell'utilizzo non sono apparsi.
Stavo diventando scemo (più del solito) a capire perchè non funzionasse e sono arrivato a quelle voci seguendo questa guida.
Grazie.

[MozBix]

Oggi ho avuto anche io la bella sorpresa, la cosa strana è che fino a pochi giorni fa tutto funzionava bene.
In azienda dobbiamo entrare per ragioni ammiistrative su vari portali AdE in primis.... con varie CNS

Il problema che ho notato è che FF pone una specie di priorità sul certificato generico che è caricato di default...
Quindi, quando chiede di memorizzare il certificato (per quella sessione) su quel sito, di base ti propone
quello generico e se non lo cambi con quello letto nella CNS ovviamente non entri.

Anche memorizzandoli tutti in modo permanente non funziona, sembra che non gli interessi il
fatto che l'hai memorizzato, ti ripropone la stessa finestra e devi cambiarlo ogni volta.

Occorre poi disabilitare il Blocco dei Contenuti per i siti istituzionali:
- andare sul sito, per esempio quello dell’Agenzia delle Entrate;
- fare clic sinistro sullo scudetto accanto al lucchetto prima dell’indirizzo, se si vede "Protezione antitracciamento attiva", disattivarla cambiando il segno di selezione. 

Come se non bastasse, la CNS usa spesso pagine Web che necessitano di JavaScript attivo. Occorre quindi assicurarsi di non aver disabilitato JavaScript tramite l'about:config o un'estensione tipo "NoScript".

Javascript attivo o disattivo su AdE funziona ugualmente...
Finestre Pop-Up attive ...
Se poi disabilito Protezione antitracciamento attiva ... non entro proprio sulla pagina.

 

Non mi rimane che dover cambiare ogni singola volta il certificato, in automatico non lo legge e non lo propone.
Se avete altri test che posso fare mi propongo volentieri come cavia.