¿Intentaste conectarte a un servidor utilizando la autorización del certificado de cliente SSL sólo para encontrarte con un mensaje que te decía que ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED?

La autorización de certificado de cliente SSL añade una capa extra de seguridad cuando te conectas a herramientas y aplicaciones esenciales. Pero si algo falla cuando intentas autenticarte, no podrás conectarte, lo que provocará algunas situaciones frustrantes.

Este artículo te explicará todo lo que necesitas saber sobre el error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED, incluyendo los pasos que puedes seguir para solucionar el problema.

¿Qué significa ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED?

La mayoría de la gente está familiarizada con los certificados SSL a nivel de servidor.

Hoy en día, la mayoría de los sitios web utilizan certificados SSL y HTTPS para crear una conexión cifrada entre el navegador web de una persona y el servidor. Esto encripta los datos en tránsito, pero también verifica que el servidor «es quien dice ser», por así decirlo.

Con la autorización del certificado SSL de cliente, el «cliente» -es decir, el usuario que se conecta al servidor- también tiene su propio certificado SSL para verificar que el cliente «es quien dice ser»

Así que si quieres conectarte a un servidor que requiere autorización de certificado de cliente SSL, tendrás que proporcionar tu certificado de cliente SSL para conectarte.

Puedes guardar el certificado SSL del cliente en tu ordenador. O también puedes guardarlo en algún lector de tarjetas inteligentes portátil, que es un método que utilizan muchas organizaciones.

Añade una capa adicional de seguridad al restringir el acceso a una lista específica de usuarios autentificados, lo cual es esencial en muchas aplicaciones empresariales o si alguien quiere en general bloquear el acceso a un servidor concreto.

El mensaje de error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED indica que algo ha ido mal con el certificado SSL del cliente, y no con el certificado SSL del servidor.

¿Qué causa el error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED?

El error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED es un error técnico, por lo que la mayoría de las causas son técnicas.

Una de las principales causas es alguna interferencia en la conexión. Hay muchas causas potenciales dentro de este grupo, que detallaremos a continuación. Podría tratarse de un software antivirus, una VPN, la aplicación de acceso al llavero de macOS, etc.

Otra causa común es un problema con el uso de la versión TLS, que es el protocolo que sustenta los certificados SSL.

Hay cuatro versiones de TLS: 1.0, 1.1, 1.2 y 1.3. Sin embargo, las versiones TLS 1.0 y 1.1 han quedado obsoletas a partir de 2022.

En algunas situaciones, utilizar una versión de TLS demasiado baja o demasiado alta puede provocar el mensaje ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED. Por ejemplo, si tu tarjeta inteligente sólo funciona con TLS 1.2, pero el servidor utiliza TLS 1.3, eso podría desencadenar el error.

Cómo solucionar el error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED

Ahora vamos a ver cómo solucionar el error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED. Empezaremos con arreglos técnicos menores y luego entraremos en las soluciones más técnicas.

1. Reinicia tu ordenador

«¿Has intentado apagarlo y volverlo a encender?»

Este consejo técnico ha alcanzado el estatus de meme, pero siempre es un buen punto de partida para descartar cualquier fallo de base.

Definitivamente no solucionará todos los problemas, pero te ahorrará mucho tiempo si funciona, así que siempre merece la pena probarlo antes de ir más allá.

2. Actualiza Chrome

Si utilizas una versión antigua de Chrome, eso puede provocar el error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED. Normalmente, se trata de un problema con la versión de TLS que utiliza Chrome.

Para descartar cualquier problema en este caso, asegúrate de que utilizas la última versión de Chrome antes de conectarte.

3. Reinicia Chrome

Además de actualizar Chrome, otro paso básico para solucionar el error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED es restablecer la configuración predeterminada de Chrome.

Chrome incluye una herramienta incorporada para ayudarte a hacerlo: aquí te explicamos cómo hacerlo:

  1. Introduce la siguiente dirección en la barra de direcciones de tu navegador – chrome://settings/privacy
  2. Desplázate hasta la parte inferior del área de configuración que aparece.
  3. Haz clic en la opción Avanzada para ampliar algunas opciones adicionales.
  4. En la sección Restaurar y limpiar, haz clic en la opción Restaurar la configuración a sus valores predeterminados originales.
Cómo restablecer la configuración de Chrome a los valores predeterminados.
Cómo restablecer la configuración de Chrome a los valores predeterminados.

4. Desactiva el cortafuegos o el software antivirus

Algunos cortafuegos o software antivirus pueden provocar el error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED al interferir en la conexión entre tu ordenador y el servidor.

Puede tratarse de los cortafuegos integrados en tu sistema operativo o de un software antivirus específico que hayas instalado.

Para ver si este es el caso, prueba a desactivarlos y a probar de nuevo la conexión. Si funciona, puedes probar a utilizar otro software antivirus o a ajustar las reglas del cortafuegos de tu software.

5. Desactiva tu VPN

Si estás utilizando activamente una VPN mientras intentas conectarte, eso podría causar el error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED.

Si necesitas específicamente la VPN (por ejemplo, tu empresa la requiere), intenta desactivar la VPN y volver a conectarte.

6. Ajusta la aplicación de acceso al llavero (macOS)

Si utilizas macOS, una causa común del error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED son los problemas con la aplicación Keychain Access. Esta es la aplicación nativa de macOS que Apple ofrece para almacenar tus contraseñas y detalles de la cuenta, incluyendo tus certificados de cliente SSL.

Si se trata de un problema, es posible que tu certificado de cliente SSL siga funcionando en Safari, pero que no funcione en otros navegadores web como Chrome o Firefox.

A continuación te explicamos cómo solucionarlo:

  1. Abre la aplicación Acceso al Llavero.
  2. Busca tu certificado de cliente SSL: debería aparecer en Inicio de sesión > Mis certificados.
  3. Haz clic con el botón derecho en la clave privada HTTPS que está fallando.
  4. Abre la pestaña Control de acceso.
  5. Selecciona la opción Permitir que todas las aplicaciones accedan a este elemento. Puede que ya aparezca como seleccionada. Aunque sea así, haz clic para volver a seleccionarla.
  6. Guarda los cambios.

La próxima vez que intentes conectarte al servidor que requiere autenticación de cliente, se te pedirá que introduzcas la contraseña de tu llavero. Hazlo y luego elige Permitir siempre.

El problema debería solucionarse a partir de ahora.

7. Cambia la configuración TLS de tu navegador web

Otra causa común de este error es algún problema con la configuración de la versión TLS, ya sea porque es demasiado alta o demasiado baja.

El problema más común es que tu sistema operativo o tu lector de tarjetas inteligentes no funcionan con TLS 1.2 o 1.3. Una solución temporal para arreglar esto es confinar tu navegador web para que utilice TLS 1.1 en su lugar.

No recomendamos esto como solución a largo plazo, ya que siempre es mejor utilizar protocolos TLS modernos, especialmente porque TLS 1.0 y 1.1 han quedado obsoletos. Sin embargo, puede ser una solución viable a corto plazo en situaciones urgentes.

A continuación se explica cómo configurar Chrome para que utilice una versión de TLS más antigua:

  1. Haz clic con el botón derecho del ratón en el acceso directo de Chrome en tu escritorio y selecciona Propiedades. Este es el acceso directo en el que haces clic para abrir el navegador Chrome.
  2. Busca la configuración de Destino en la pestaña Acceso directo (que debería estar abierta por defecto).
  3. Añade el siguiente texto fuera del objetivo existente: ssl-version-max=tls1.1 (pon un espacio entre el texto y la comilla final).
  4. Haz clic en Aceptar para guardar los cambios.
Cómo forzar a Chrome a utilizar una versión de TLS diferente.
Cómo forzar a Chrome a utilizar una versión de TLS diferente.

Cuando abras Chrome utilizando ese acceso directo, ahora utilizará esa versión de TLS.

En Firefox, puedes cambiar la configuración de la versión TLS en la configuración de Firefox:

  1. Abre Firefox.
  2. Introduce about:config en la barra de direcciones del navegador.
  3. Busca TLS.
  4. Ajusta security.tls.version.min y security.tls.version.max según tus preferencias. Puedes obtener más información en este artículo de ayuda.
Cómo cambiar la versión TLS en Firefox.
Cómo cambiar la versión TLS en Firefox.

8. Cambiar la configuración TLS de tu servidor

Más arriba hemos hablado de cómo puedes intentar solucionar este error cambiando la versión TLS que utiliza tu navegador.

Sin embargo, si tienes acceso al servidor, también podrías solucionar problemas específicos ajustando la configuración del servidor.

Por ejemplo, si estás almacenando el certificado SSL del cliente en un lector de tarjetas inteligentes, algunos lectores de tarjetas inteligentes sólo funcionan con TLS v1.2.

Para solucionarlo, puedes probar a jugar con la configuración del servidor.

Por ejemplo, un usuario tenía inicialmente su servidor configurado para utilizar TLS min v.1.0 y pudo solucionar el error añadiendo otra bandera para establecer la versión max a 1.2.

9. Actualizar Windows

Un último consejo para solucionar el problema es actualizar el software de Windows si todo lo demás falla. A menudo, el error ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED es consecuencia de versiones antiguas de Windows.

Si es posible, actualiza tu sistema a la última versión (o al menos a una versión más moderna).

Resumen

El mensaje ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED es un error que aparece cuando algo va mal con la autorización del certificado de cliente SSL.

Es posible que tengas un certificado de cliente SSL en tu ordenador o un lector de tarjetas inteligentes que no puedas utilizar debido a este mensaje de error.

Hay dos grandes grupos de estrategias que pueden solucionar el problema:

  1. Puedes comprobar si hay algo que interfiere en la conexión, como un cortafuegos, la aplicación Acceso al Llavero de macOS, una VPN, etc.
  2. Puedes ver si hay algún problema con la versión de TLS que estás utilizando, ya que podría ser demasiado baja o demasiado alta para tu caso de uso específico.

Si quieres ayuda para solucionar otros errores SSL, tenemos una guía general sobre cómo solucionar errores de conexión SSL. También tenemos guías específicas para arreglar varios errores SSL del lado del servidor o del lado del cliente: