Gli ultimi mesi ho usato sia una Tessera Sanitaria / CNS Mod. 2014 sia una nuova ST2021. Entrambe finora hanno funzionato, la ST2021 sia con lettore a contatti, sia con lettore NFC. Sistema Linux-Ubuntu 20.04.3, Firefox sempre aggiornato, moduli di sicurezza caricati.
Da alcuni giorni con la ST2021 non e’ piu’ possibile accedere a siti PA. Alcune volte viene immediatamente rigettata, altre volte dopo l’inserimento del PIN, in alcune occasioni viene richiesto il PIN, e’ mostrato il certificato utente, ma poi il server centrale risponde
Secure Connection Failed
An error occurred during a connection to dp3.anpr.interno.it. A PKCS #11 module returned CKR_GENERAL_ERROR, indicating that an unrecoverable error has occurred.
Error code: SEC_ERROR_PKCS11_GENERAL_ERROR
In altre occasioni appare direttamente l’indicazione che “il certificato non e’ valido” ancor prima di inserire il PIN.
La TS/CNS mod. 2014 e’ semplice, funziona bene, il software necessario e’ molto limitato e non ha mai dato problemi. Ma carte di questo tipo non vengono piu’ emesse. In confronto la ST2021 mi ha creato numerosi problemi prima di riuscire a farla funzionare. E adesso non funziona piu’, ne’ con il lettore a contatti ne’ con quello NFC.
Qualcuno ha esperienze analoghe? Da che cosa puo’ dipendere?
Dopo diversi test il problema e’ diventato chiaro. I moduli di sicurezza della Tessera Sanitaria nuovo modello (interfaccia NFC) e della Carta d’Identita’ Elettronica sono incompatibili. Con il modulo per la CIE la Tessera Sanitaria non funziona piu’ e vengono riportati gli errori di cui al post precedente. Non e’ pertanto possibile configurare un PC per l’uso sia di Tessera Sanitaria sia di CIE. Nel caso, e’ necessario caricare a mano di volta in volta i moduli necessari in Firefox e cancellare quelli non compatibili.
Lo stesso problema non si verifica con la vecchia Tessera Sanitaria, quella solo a contatti elettrici. Non ci sono incompatibilita’ tra il suo modulo di sicurezza e quello della CIE.
Il problema e’ descritto per Ubuntu 20.04.3 LTS con Firefox 98 (la versione piu’ attuale). Non so se si verifica anche con altro sistema operativo o altro browser.
A me funziona senza problemi con Firefox 98.0.1 su OSX 11 Big Sur, con il lettore NFC Tedesco, pre scrupolo ho appena riprovato.
L’unico problema, e che quando passi da CIE a TS o da TS a CIE devi riavviare Firefox, ma questo problema è presente fin dall’inizio.
EDIT:
Ho letto solo adesso che tu il problema ce l’hai con la ST2021, mentre io ho la ACe 2021.
Io ho usato unicamente i driver in bit4id/pkcs11/libbit4xpki.dylib sia per la CIE che per la TS
Grazie per la risposta, molto interessante.
Il driver per la carta in Firefox per Linux e’ “libstpkcs11.so” e non e’ fornito da Bit4Id ma da ST Microelectronics. Mentre il driver CIE e’ “libcie-pkcs11.so” ed e’ fornito dal Ministero dell’Interno. Temo che l’incompatibilita’ in ultima analisi sia da ricondurre al fatto che si tratta di ecosistemi differenti. Forse a non essere compatibile e’ un dettaglio microscopico e insignificante, ma il fatto resta. Se alla base di CIE e Tessera Sanitaria ci fosse stato un unico software, pur anche con due enti differenti di emissione… Mi fermo qui, il resto e’ ovvio, e’ gia stato discusso parecchie volte su questo Forum.
Grazie di nuovo per il riscontro.
Immagino un discorso surreale alla ASL. “Sono qui per il rinnovo della Tessera Sanitaria.” “Nessun problema, ci dia la vecchia.” “Eccola, ma per piacere fate in modo che la nuova sia del mod. Ac2017 perche’ altrimenti ho incompatibilita’ con il Token della Regione Lombardia e con la Tessera Sanitaria dei miei genitori in Umbria…”
Quando la UE da’ le pagelle di conformita’ alle regole comunitarie prima dei nuovi esborsi dovrebbe guardare a questi aspetti, non al cloud sui supercomupter. Scopriremo pure nuove galassie, ma le tessere restano incompatibili.
Allora, mi sono riguardato meglio la configurazione di Firefox e mi sono accorto che ho scritto una cosa sbagliata.
Per la TS ho impostato i driver i driver presenti in /Library/bit4id/pkcs11/libbit4xpki.dylib
Mentre per la CIE ho impostato i driver presenti in /Library/ipzs/libcie-pkcs11.dylib , cioè quelli indicati nelle istruzioni per la CIE.
Ho però notato che è risaltato fuori un vecchio bug di Firefox, in pratica se io se io aggancio due driver diversi che riguardano lo stesso lettore fisico come ad esempio quando prima caricato i driver della Tessera Sanitaria dandogli come nome Tessera Sanitaria, e poi quelli della CIE dandogli come nome CIE, una volta riavviato Firefox solo l’ultimo immesso mi appare, ma poi funzionano tutti e due.
Questo era un vecchio Bug, che mi ricordo fosse stato risolto diverse versioni fa, adesso ho controllato e sembra che sia riapparso.
Ad esempio io vedo solo i Driver relativi alla CIE, ma se vado sul sito dell’INPS o della AdE mi funziona sia la CIE che la TS.
Secondo me tu potresti avere una variante dello stesso problema.
Tutte le nuove tessere sanitarie, certamente dal 2021 in poi, hanno la funzione NFC. Non ho sentito niente che qualche regione non la preveda. Sarebbe un problema logistico enorme.
Qualche settimana fa ho provato a entrare sui siti di diverse regioni, tra cui il seguente, e la ST2021 ha funzionato sia con lettore a contatti sia con lettore NFC.
@GiP Non è scontato, FVG consegna ACx 2021, ACe 2021 e ST 2021 (fonte: Regione Autonoma Friuli Venezia Giulia - Le Carte attualmente in distribuzione) quindi anche qui lotteria se avere nfc o meno, visto che la regione stessa considera come unico vettore di accesso la componente smart card e non nfc in tutta la sua documentazione
Grazie per l’informazione! Preferisco astenermi dal commentare. E dire che sarebbe bastato usare la stessa tecnologia e SW di interfaccia della CIE, problem solved.
Non e’ che tra un po’ scopriamo che le CIE hanno caratteristiche differenti a seconda del Comune (quartiere, municipio, sestriere, contrada ecc. ecc.) di emissione?
Il problema di omologarsi sul formato cie 3.0 è che tutti i comuni hanno consegnato i kit CNS per cittadino basati su smart card convenzionale, quindi tutti i cittadini dovrebbero equipaggiarsi di smartphone con nfc o lettori per i loro computer in caso di cambio tecnologico. Ritengo una scelta migliore avere una tessera con doppio connettore(radio e fisico), così si coprono tutte le possibilità di accesso.
Per la questione diversificazione, il problema è che una volta ottemperato alle specifiche iso delle smartcard, tutti gli stock vengono comprati con gare al ribasso e spesso in lotti minimi, facendo si che in base all’umore dei venditori si trovino pezzi diversi.
Nulla in contrario ad avere il doppio connettore. Pero’ sarebbe stato anche necessario da un lato mantenere anche la vecchia interfaccia a contatto cosi’ da non obbligare a cambiamenti di driver, middleware ecc. e dall’altro lato essere ferrei sul funzionamento secondo le specifiche. Ma non si deve giungere a situazioni come quella per cui ho aperto questo Thread, che o funziona la CIE o funziona la nuova TS (la vecchia funziona in ogni caso). Questo e’ demenziale.
Il SW della Regione FVG mi ha incuriosito, in questi giorni cerco di provarlo.
Noi discutiamo di come risolvere questi problemi ma abbiamo anche dimestichezza con il terminal, linee di comando, documentazione in inglese. Ma come deve fare il 90-95% della popolazione che non ha questi skill?
Noi discutiamo di come risolvere questi problemi ma abbiamo anche dimestichezza con il terminal, linee di comando, documentazione in inglese. Ma come deve fare il 90-95% della popolazione che non ha questi skill?
Bisogna inventarsi un sistema unico a prova di “fesso”. Il fatto di avere quattro idp, basati su tessere di tipo diverso in funzione dell’allineamento dei pianeti(CNS/CIE1), servizi terzi che funzionano tutti in maniera diversa senza uniformità o con sistemi impossibili per una mente sana(CIE NFC ibrida) mi fa sentire impossibile la cosa. Avrebbe avuto più senso decidere una tessera o servizio e portarla avanti fino alla fine dei tempi(tipo nemid che fa tutto senza esclusioni per la danimarca) piuttosto che cambiarla ogni volta che varia il meteo. Visto che nella mia città abbiamo avuto nell’ordine CIE1 e poi TS-CNS, entrambe basate su smart card, tanti anziani si trovano la CIE NFC e non sanno a che santo votarsi per entrare nei servizi, pregando che l’accesso via CNS continui il più a lungo possibile. Ogni volta che un amico o conoscente avanti negli anni inizia a dire le lettere “SPI” inizio ad avere i tremiti, sapendo che partiranno filippiche su come sia impossibile iscriversi, usarlo o gestirlo e così identico per la CIE NFC. Più passa il tempo e più voglio andare a fare l’eremita.
Provato a creare in firefox un profilo diverso per ogni carta ?
Anticipo che la chiamo “non soluzione” però potrebbe permetterti di far funzionare al bisogno una o l’altra. Ho “risolto” così per il mio lettore a doppia interfaccia.
Il modulo relativo a ogni carta e’ salvato con un nome diverso. In ultima analisi credo che il conflitto sia che nel caso della ST2021 e della CIE Firefox non riesca a decidere automaticamente quale sia il modulo giusto e attiva quello della CIE, se presente, quando invece e’ inserita la ST2021. Non ho trovato nella documentazione Firefox secondo quale logica e’ attivato un modulo invece di un altro. L’unico aspetto chiaro, anche questo visto dalla pratica e non dalla documentazione, e’ che occorre prima collegare lettore e carta e poi fare partire Firefox. Con Firefox gia’ in funzione non riconosce un nuovo lettore e carta.
Questi problemi sono presenti anche con altri browser? Ho provato un derivato Chrome. Non e’ chiaro come, o forse non e’ possibile del tutto, caricare moduli. Funziona con la TS vecchio tipo, non funziona con la nuova e con la CIE.
Edge chromium, Chrome e Edge legacy fanno capo a sistema operativo, dove va in sequenza con tutti i middleware installati fintanto che non riceve OK/Fail da ciascun componente.
@GiP Hai poi provato il middleware di FVG? In teoria togliendo tutti i middleware salvo quello cie e usando quella variante di bit4id universal dovresti coprire tutte le tessere TS-CNS attualmente in distribuzione siano STmicro o Oberthur.
ACe 2021 è NFC, lo stesso per ST 2021, per la ACx 2021 non ho vista solo una ed era NFC, ma leggendo deiversi messaggi apparsi anche qui, sembra che anche tutte le ACx 2021 siano NFC.
@RiccardoS Mi fa piacere scoprirlo visto che ne nella documentazione d’uso, ne nelle grafiche delle tessere è menzionato il fatto che esiste nfc. Dovrei provare a vedere se qualche amico ha cambiato tessera di recente, la mia non lo è di sicuro.