TL;DR — Resumen Rápido
Solución al error java.security.AccessControlException: access denied en IDSE del IMSS al renovar certificado. Edita java.policy en minutos.
Nota: Este artículo fue publicado originalmente en 2019. Algunos pasos o versiones de software pueden haber cambiado. Verifica la documentación actual de IMSS para la información más reciente.
Ahorita nos tocó nuevamente renovar el certificado del IDSE del IMSS. Como siempre, es un proceso que resulta engorroso, complicado, y depende de JAVA y políticas de baja seguridad para que funcione. Sigo sin entender porque el IMSS decidió irse por estos caminos tan poco usuales. No más de una vez me he metido al sitio y ni siquiera el certificado web está actualizado (just ahorita si te metes ya expiró). Pero bueno, regresando al tema: Hubieron dos problemas con los que nos topamos esta vez. El primero es que dice que para bajar tu certificado te va a llegar una liga por correo: MENTIRA. Ningún correo nos llegó, pero si puedes darle click en continuar y en la siguiente página puedes bajarlo sin mayor problema. Eso sí, si hablas a soporte técnico te mandan a las oficinas del IMSS con tu USB y archivos a que ellos te den el certificado… que burocracia más engorrosa.
El segundo problema que tuvimos es que para terminar de obtener nuestro certificado teníamos que permitir que leyera el sistema nuestra carta y firmarla… sin embargo el sistema no dejaba de mandar errores indicando “access denied, read”. Esto me llevó a sospechar que por alguna razón o política de seguridad los archivos no podían ser leídos. Volví a ejecutar el java policy que te pide el IMSS y nada. Finalmente encontramos una manera de hacerlo funcionar. Cabe mencionar, esta forma tiene riesgos de seguridad y si la van a usar es bajo su propio riesgo y sugiero hagan el cambio y reviertan a la configuración default cuando terminen de renovar su certificado, no usar ningún otro sitio web o aplicación en el momento, particularmente si usan java.
Solución
Leyendo el mensaje que más o menos va así: “java.security.AccessControlException access denied” y más adelante te indica que el error es de tipo “read” (osea, lectura). Usando esta información lo que nos dice es que Java no tiene permiso de leer los archivos que le estamos dando (y porque no tuvo problemas con la carta anterior es un misterio). Entonces, prosigamos:
Para corregir esta situación de falta de permisos de lectura, es necesario localizar el o los archivos llamados java.policy que se encuentran el carpeta de instalación de cada versión de Java (si sabes cual usa el IDSE, solo hay que cambiar esa… si no vas a tener que cambiar todas). Estos archivos se encuentran en el subdirectorio de cada instalación de java bajo \lib\security por ejemplo: C:\Program Files (x86)\Java\jre1.8.0_191\lib\security u otro ejemplo C:\Archivos de programa\Java\jre6\lib\security (la parte jre6 es la que cambia de acuerdo a la versión como pueden observar entre los dos ejemplos). Una vez localizados los archivos se tienen que editar, abran el bloc de notas (probablemente necesiten abrirlo como administrador para poder guardar los cambios) y prosigan a agregar insertar la siguiente línea justo en la línea antes del último corchete ( } ) :
permission java.io.FilePermission ”<>”, “read”;
NOTA: Esta solución permite a todos los programas de Java leer cualquier archivo en la máquina por lo que puede tener riesgos en la seguridad del equipo. Tan pronto terminen de renovar el certificado del IMSS se sugiere comenten o remuevan esta línea por seguridad.
Investigando más… es posible utilizar una ruta en vez de <> para todas las rutas. Mi sugerencia, es crear un folder donde por el momento pueda uno poner temporalmente ahí los archivos ya que cualquier aplicación java tendrá acceso de lectura a esa carpeta a partir de este cambio:
permission java.io.FilePermission “C:/Imss/Temp/-”, “read”;
Y listo! Ya con eso nos funcionó y pudimos terminar de renovar nuestro certificado digital del IMSS y utilizar nuevamente la plataforma del IDSE para nuestras altas, bajas y modificaciones obrero patronales.
Navegadores Compatibles
Muchos usuarios que encuentran el error AccessControlException también enfrentan problemas de compatibilidad con navegadores modernos, ya que los applets de Java han sido descontinuados en la mayoría de ellos. Ten en cuenta lo siguiente:
- Internet Explorer 11 es el único navegador que aún soporta plugins de Java. Asegúrate de usar la versión de 32 bits de IE (
C:\Program Files (x86)\Internet Explorer\iexplore.exe), ya que la versión de 64 bits no carga los applets correctamente. - Chrome, Firefox y Edge eliminaron el soporte para plugins NPAPI/Java desde 2015-2017. No funcionarán para el proceso de firma del IDSE que requiere Java.
- Alternativa sin Java: El IMSS ha implementado un Escritorio Virtual accesible desde
idse.imss.gob.mxque permite realizar trámites del IDSE sin depender de Java ni de un navegador específico. Si tu certificado digital está vigente, esta opción evita completamente los problemas de compatibilidad de Java.
Resumen
- El error
java.security.AccessControlException access denied readal renovar el certificado IDSE del IMSS se debe a que Java bloquea la lectura de archivos locales por política de seguridad. - El “Access denied Error 15” en
serviciosdigitales.imss.gob.mxtiene la misma raíz: la JVM no puede leer el archivo del certificado en el disco local. - La solución es editar el archivo
java.policyenlib/securityde la versión de Java que usa el IDSE y agregar la líneapermission java.io.FilePermission "<>", "read";antes del último corchete de cierre. - Para mayor seguridad, utiliza una ruta específica (
"C:/Imss/Temp/-") en lugar de<>(todas las rutas) para limitar el acceso de lectura solo al directorio del certificado. - El error
0x8009030dindica que el certificado no está disponible en el almacén del sistema; verifica la importación del archivo.ceren Windows además de los permisos Java. - Revierte el cambio en
java.policyinmediatamente después de completar la renovación para restaurar la seguridad predeterminada.