TL;DR — Resumo Rápido

Solução para o erro java.security.AccessControlException: access denied no IDSE do IMSS ao renovar certificado. Edite java.policy em minutos.

Nota: Este artículo fue publicado originalmente en 2019. Algunos pasos o versiones de software pueden haber cambiado. Verifica la documentación actual de IMSS para la información más reciente.

Ahorita nos tocó nuevamente renovar el certificado del IDSE del IMSS. Como siempre, es un proceso que resulta engorroso, complicado, y depende de JAVA y políticas de baja seguridad para que funcione. Sigo sin entender porque el IMSS decidió irse por estos caminos tan poco usuales. No más de una vez me he metido al sitio y ni siquiera el certificado web está actualizado (just ahorita si te metes ya expiró). Pero bueno, regresando al tema: Hubieron dos problemas con los que nos topamos esta vez. El primero es que dice que para bajar tu certificado te va a llegar una liga por correo: MENTIRA. Ningún correo nos llegó, pero si puedes darle click en continuar y en la siguiente página puedes bajarlo sin mayor problema. Eso sí, si hablas a soporte técnico te mandan a las oficinas del IMSS con tu USB y archivos a que ellos te den el certificado… que burocracia más engorrosa.

El segundo problema que tuvimos es que para terminar de obtener nuestro certificado teníamos que permitir que leyera el sistema nuestra carta y firmarla… sin embargo el sistema no dejaba de mandar errores indicando “access denied, read”. Esto me llevó a sospechar que por alguna razón o política de seguridad los archivos no podían ser leídos. Volví a ejecutar el java policy que te pide el IMSS y nada. Finalmente encontramos una manera de hacerlo funcionar. Cabe mencionar, esta forma tiene riesgos de seguridad y si la van a usar es bajo su propio riesgo y sugiero hagan el cambio y reviertan a la configuración default cuando terminen de renovar su certificado, no usar ningún otro sitio web o aplicación en el momento, particularmente si usan java.

Solución

Leyendo el mensaje que más o menos va así: “java.security.AccessControlException access denied” y más adelante te indica que el error es de tipo “read” (osea, lectura). Usando esta información lo que nos dice es que Java no tiene permiso de leer los archivos que le estamos dando (y porque no tuvo problemas con la carta anterior es un misterio). Entonces, prosigamos:

Para corregir esta situación de falta de permisos de lectura, es necesario localizar el o los archivos llamados java.policy que se encuentran el carpeta de instalación de cada versión de Java (si sabes cual usa el IDSE, solo hay que cambiar esa… si no vas a tener que cambiar todas). Estos archivos se encuentran en el subdirectorio de cada instalación de java bajo \lib\security por ejemplo: C:\Program Files (x86)\Java\jre1.8.0_191\lib\security u otro ejemplo C:\Archivos de programa\Java\jre6\lib\security (la parte jre6 es la que cambia de acuerdo a la versión como pueden observar entre los dos ejemplos). Una vez localizados los archivos se tienen que editar, abran el bloc de notas (probablemente necesiten abrirlo como administrador para poder guardar los cambios) y prosigan a agregar insertar la siguiente línea justo en la línea antes del último corchete ( } ) :

permission java.io.FilePermission ”<>”, “read”;

NOTA: Esta solución permite a todos los programas de Java leer cualquier archivo en la máquina por lo que puede tener riesgos en la seguridad del equipo. Tan pronto terminen de renovar el certificado del IMSS se sugiere comenten o remuevan esta línea por seguridad.

Investigando más… es posible utilizar una ruta en vez de <> para todas las rutas. Mi sugerencia, es crear un folder donde por el momento pueda uno poner temporalmente ahí los archivos ya que cualquier aplicación java tendrá acceso de lectura a esa carpeta a partir de este cambio:

permission java.io.FilePermission “C:/Imss/Temp/-”, “read”;

Y listo! Ya con eso nos funcionó y pudimos terminar de renovar nuestro certificado digital del IMSS y utilizar nuevamente la plataforma del IDSE para nuestras altas, bajas y modificaciones obrero patronales.

Muitos usuários que encontram o erro AccessControlException também enfrentam problemas de compatibilidade com navegadores modernos, já que os applets Java foram descontinuados na maioria deles. Considere o seguinte:

  • Internet Explorer 11 é o único navegador que ainda suporta plugins Java. Certifique-se de usar a versão de 32 bits do IE (C:\Program Files (x86)\Internet Explorer\iexplore.exe), pois a versão de 64 bits não carrega os applets corretamente.
  • Chrome, Firefox e Edge removeram o suporte a plugins NPAPI/Java desde 2015-2017. Eles não funcionarão para o processo de assinatura do IDSE que requer Java.
  • Alternativa sem Java: O IMSS implementou um Desktop Virtual acessível em idse.imss.gob.mx que permite realizar trâmites do IDSE sem depender de Java ou de um navegador específico. Se seu certificado digital estiver vigente, esta opção evita completamente os problemas de compatibilidade do Java.

Resumo

  • O erro java.security.AccessControlException access denied read ao renovar o certificado IDSE do IMSS ocorre porque o Java bloqueia a leitura de arquivos locais por política de segurança.
  • O “Access denied Error 15” em serviciosdigitales.imss.gob.mx tem a mesma origem: a JVM não consegue ler o arquivo do certificado no disco local.
  • A solução é editar o arquivo java.policy em lib/security da versão do Java usada pelo IDSE e adicionar a linha permission java.io.FilePermission "<>", "read"; antes da última chave de fechamento.
  • Para maior segurança, use um caminho específico ("C:/Imss/Temp/-") em vez de <> (todos os caminhos) para limitar o acesso de leitura apenas ao diretório do certificado.
  • O erro 0x8009030d indica que o certificado não está disponível no repositório do sistema; verifique a importação do arquivo .cer no Windows além das permissões do Java.
  • Reverta a alteração no java.policy imediatamente após concluir a renovação para restaurar a segurança padrão.

Artigos Relacionados