Grupo, Me respondieron de AFIP:
Este fue mi mail... > Si sigo las indicaciones de http://www.afip.gob.ar/ws/ > > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT > 20179571219" -out Pedido.crs > > Es decir lo único que cambio es la longitud de la clave y ejecuto el OppenSSL > en modo verificación de la siguiente forma: > > openssl req -in Pedido.crs -noout -text > > Me da la siguiente informacion: > > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber > =CUIT 20179571219 > Public Key Algorithm: rsaEncryption > Public-Key: (2048 bit) > Signature Algorithm: sha1WithRSAEncryption > > Dice claramente SHA1... es decir esta mal! > > Ahora bien si hago el siguiente cambio > > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT > 20179571219" -out Pedido.crs -sha256 > > y luego de eso vuelvo realizar la comprobacion me devuelve la siguiente > informacion > > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber > =CUIT 20179571219 > Subject Public Key Info: > Public Key Algorithm: rsaEncryption > Public-Key: (2048 bit) > Signature Algorithm: sha256WithRSAEncryption > > Ahora si es SHA2!!! > > Ya genere el certificado como SHA2 en homologación y me funciona, pero también > me funciona si solo cambio la longitud de la clave... cual es lo correcto para > el 1/11. > Y esta fue la respuesta de AFIP Estimado: Si, es correcto. Sha256 es sólo para los certificados de los servidores, que es independiente al certificado que se utiliza para obtener el ticket de acceso en el WSAA. Puede usar sha1 en ese certificado sin problemas Atte. __________________________________________ División Mesa de Ayuda Departamento de Soporte Técnico Dirección de Operaciones Informáticas Esto significa que lo único que habría que respetar es que la longitud de la clave tenga al menos 2048 caracteres de largo. Para averiguar la longitud de la clave para cada cliente simplemente ejecuta el comando openssl req -in Pedido.crs -noout -text Donde Pedido.crs es el archivo que se genera con el comando C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT 20179571219" -out Pedido.crs Saludos, Pancho El lun., 12 sept. 2016 a las 16:02, Lic Claudio E. Segretin (< [email protected]>) escribió: > Estuve leyendo algo más y lo que entiendo es que lo que cambia son los > certificados, pero el código que se usa para la autorización sigue siendo > válido. ¿Entendí bien? > > > > Desde ya muchas gracias por la ayuda. > > > > > > Saludos… > > Claudio E. Segretin > > Este mensaje se dirige exclusivamente a su destinatario y puede contener > información CONFIDENCIAL sometida a secreto profesional o cuya divulgación > este prohibida en virtud de la legislación vigente. Si ha recibido este > mensaje por error, le rogamos que nos lo comunique inmediatamente por esta > misma vía y proceda a su destrucción. > > (This message is intended exclusively for its address and may contain > information that is CONFIDENTIAL and protected by a professional privilege > or whose disclosure is prohibited by law. If this message has been received > in error, please immediately notify us via e-mail and delete it.) > > > > > > *De:* [email protected] [mailto:[email protected]] *En nombre de *Lic Claudio > E. Segretin > > > *Enviado el:* lunes, 12 de septiembre de 2016 14:51 > > *Para:* GUFA List Member <[email protected]> > > > *Asunto:* [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL > > > > A mí también me llegó. Alguien tiene idea de lo que implica? > > > > Gracias desde ya. > > > > > > Saludos… > > Claudio E. Segretin > > Este mensaje se dirige exclusivamente a su destinatario y puede contener > información CONFIDENCIAL sometida a secreto profesional o cuya divulgación > este prohibida en virtud de la legislación vigente. Si ha recibido este > mensaje por error, le rogamos que nos lo comunique inmediatamente por esta > misma vía y proceda a su destrucción. > > (This message is intended exclusively for its address and may contain > information that is CONFIDENTIAL and protected by a professional privilege > or whose disclosure is prohibited by law. If this message has been received > in error, please immediately notify us via e-mail and delete it.) > > > > > > > > *De:* [email protected] [mailto:[email protected] <[email protected]>] *En > nombre de *Ricardo Ruben Benitez > *Enviado el:* sábado, 10 de septiembre de 2016 10:57 > *Para:* GUFA List Member <[email protected]> > *Asunto:* [GUFA] Rv: Renovación de Certificados SSL > > > > Hola a todos, me ha llegado estode afip, lo comparto. > > > > Abrazo, > > Ricardo Benitez. > > > > *rrb-calo* > > > > > ----- Mensaje reenviado ----- > *De:* MailMaster - AFIP <[email protected]> > *Para:* > *Enviado:* Viernes, 9 de septiembre, 2016 20:06:31 > *Asunto:* Renovación de Certificados SSL > > > > El 01/11/2016 se renovarán los certificados SSL utilizados por los > Webservices de AFIP. Los nuevos certificados utilizarán el algoritmo de > encripción SHA-2. > > > > SHA-1 vs SHA-2 > > El algoritmo SHA-1 es ampliamente utilizado en los certificados SSL que > permiten mantener una comunicación cifrada y segura en la Web. Desde > > el año 2005, se conocieron ciertas deficiencias en dicho algoritmo, que > demostraron que el mismo dejó de brindar la seguridad para el > > cual había sido desarrollado. Debido a ello, en 2011 la Organización de > Autoridades Certificantes y Proveedores de Navegadores Web (CA/B), > > determinó dejar de utilizar este algoritmo, declarándolo como obsoleto. > > Microsoft, Google, Apple, Mozilla y Opera entre otros, como miembros del > CA/B, anunciaron que sus navegadores: Internet Explorer, Google Chrome, > > Safari, Opera, etc. dejarán de aceptar como válidos los certificados que > utilicen el algoritmo SHA-1 a partir del año 2017. > > Asimismo, las Autoridades Certificantes Comerciales, también miembros del > CA/B, que emiten los Certificados SSL utilizados por los servicios del > > Organismo, no emiten certificados empleando SHA-1 con vencimiento posterior > al 31 de diciembre de 2016. > > Por ello, antes del 31 de diciembre de 2016, resulta necesario actualizar > todos los certificados utilizados por esta Organización para las > comunicaciones SSL, > > reemplazándolos por nuevos certificados que empleen el algoritmo SHA-2. > > Los usuarios de Webservices provistos por AFIP deberán analizar si estos > cambios generan algún tipo de impacto en sus desarrollos. Para ello se > actualizaron > > en el mes de abril de 2015 los Certificados Digitales del entorno de > Homologación, utilizando ya para los nuevos certificados > > el algoritmo SHA-2. Los principales servicios de Homologación que ya están > actualizados con certificados SHA-2 son: > > WSAA- WebService de Autenticación y Autorización > > Factura Electrónica - Webservices de Factura Electrónica > (WSFE/WSFEX/WSFECA/WSMTXCA/WSCDC) > > BFE - Webservice de Bonos Fiscales Electrónicos > > CTG - Webservice de Código de Trazabilidad de Granos > > Webservice de Juegos de Azar (JAZA) > > Webservice de Consulta a Padrón > > Webservice de Consulta y Lectura de Comunicaciones de eVentanilla > > Los cambios en el entorno de Producción se harán efectivos el día Martes > 01/11/2016. Por lo tanto se sugiere efectuar las modificaciones pertinentes > > antes de esa fecha. > > Es importante aclarar que este cambio NO AFECTA a los usuarios que utilizan > los servicios web de la AFIP con sus navegadores de Internet. > > Sólo deberán evaluar el impacto aquellos usuarios de Webservices SOAP. > > Todo lo informado en el presente correo se encuentra publicado en el > micrositio de Webservices (http://www.afip.gob.ar/ws/) > > > > DIRECCION DE INFRAESTRUCTURA TECNOLOGICA > > DIRECCION DE OPERACIONES INFORMATICAS > > SUBDIRECCION GENERAL DE SISTEMAS Y TELECOMUNICACIONES > > >
