Muchas gracias y muy claro. Sólo me queda una pregunta… ¿A partir de cuándo se puede empezar a usar los nuevos certificados en producción? ¿Hay que esperar o ya se puede empezar a hacer el cambio? Digo para no llegar al último día.
Saludos… Claudio E. Segretin Este mensaje se dirige exclusivamente a su destinatario y puede contener información CONFIDENCIAL sometida a secreto profesional o cuya divulgación este prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción. (This message is intended exclusively for its address and may contain information that is CONFIDENTIAL and protected by a professional privilege or whose disclosure is prohibited by law. If this message has been received in error, please immediately notify us via e-mail and delete it.) De: GUFA@mug.org.ar [mailto:GUFA@mug.org.ar] En nombre de francisco prieto Enviado el: lunes, 12 de septiembre de 2016 16:19 Para: GUFA List Member <GUFA@mug.org.ar> Asunto: [GUFA] Re: [GUFA] RE: [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL Grupo, Me respondieron de AFIP: Este fue mi mail... > Si sigo las indicaciones de http://www.afip.gob.ar/ws/ > > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT > 20179571219" -out Pedido.crs > > Es decir lo único que cambio es la longitud de la clave y ejecuto el OppenSSL > en modo verificación de la siguiente forma: > > openssl req -in Pedido.crs -noout -text > > Me da la siguiente informacion: > > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber > =CUIT 20179571219 > Public Key Algorithm: rsaEncryption > Public-Key: (2048 bit) > Signature Algorithm: sha1WithRSAEncryption > > Dice claramente SHA1... es decir esta mal! > > Ahora bien si hago el siguiente cambio > > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT > 20179571219" -out Pedido.crs -sha256 > > y luego de eso vuelvo realizar la comprobacion me devuelve la siguiente > informacion > > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber > =CUIT 20179571219 > Subject Public Key Info: > Public Key Algorithm: rsaEncryption > Public-Key: (2048 bit) > Signature Algorithm: sha256WithRSAEncryption > > Ahora si es SHA2!!! > > Ya genere el certificado como SHA2 en homologación y me funciona, pero también > me funciona si solo cambio la longitud de la clave... cual es lo correcto para > el 1/11. > Y esta fue la respuesta de AFIP Estimado: Si, es correcto. Sha256 es sólo para los certificados de los servidores, que es independiente al certificado que se utiliza para obtener el ticket de acceso en el WSAA. Puede usar sha1 en ese certificado sin problemas Atte. __________________________________________ División Mesa de Ayuda Departamento de Soporte Técnico Dirección de Operaciones Informáticas Esto significa que lo único que habría que respetar es que la longitud de la clave tenga al menos 2048 caracteres de largo. Para averiguar la longitud de la clave para cada cliente simplemente ejecuta el comando openssl req -in Pedido.crs -noout -text Donde Pedido.crs es el archivo que se genera con el comando C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT 20179571219" -out Pedido.crs Saludos, Pancho El lun., 12 sept. 2016 a las 16:02, Lic Claudio E. Segretin (<segre...@eficonsultora.com <mailto:segre...@eficonsultora.com> >) escribió: Estuve leyendo algo más y lo que entiendo es que lo que cambia son los certificados, pero el código que se usa para la autorización sigue siendo válido. ¿Entendí bien? Desde ya muchas gracias por la ayuda. Saludos… Claudio E. Segretin Este mensaje se dirige exclusivamente a su destinatario y puede contener información CONFIDENCIAL sometida a secreto profesional o cuya divulgación este prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción. (This message is intended exclusively for its address and may contain information that is CONFIDENTIAL and protected by a professional privilege or whose disclosure is prohibited by law. If this message has been received in error, please immediately notify us via e-mail and delete it.) De: GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> [mailto:GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> ] En nombre de Lic Claudio E. Segretin Enviado el: lunes, 12 de septiembre de 2016 14:51 Para: GUFA List Member <GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> > Asunto: [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL A mí también me llegó. Alguien tiene idea de lo que implica? Gracias desde ya. Saludos… Claudio E. Segretin Este mensaje se dirige exclusivamente a su destinatario y puede contener información CONFIDENCIAL sometida a secreto profesional o cuya divulgación este prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción. (This message is intended exclusively for its address and may contain information that is CONFIDENTIAL and protected by a professional privilege or whose disclosure is prohibited by law. If this message has been received in error, please immediately notify us via e-mail and delete it.) De: GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> [mailto:GUFA@mug.org.ar] En nombre de Ricardo Ruben Benitez Enviado el: sábado, 10 de septiembre de 2016 10:57 Para: GUFA List Member <GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> > Asunto: [GUFA] Rv: Renovación de Certificados SSL Hola a todos, me ha llegado estode afip, lo comparto. Abrazo, Ricardo Benitez. rrb-calo ----- Mensaje reenviado ----- De: MailMaster - AFIP <mailmas...@afip.gob.ar <mailto:mailmas...@afip.gob.ar> > Para: Enviado: Viernes, 9 de septiembre, 2016 20:06:31 Asunto: Renovación de Certificados SSL El 01/11/2016 se renovarán los certificados SSL utilizados por los Webservices de AFIP. Los nuevos certificados utilizarán el algoritmo de encripción SHA-2. SHA-1 vs SHA-2 El algoritmo SHA-1 es ampliamente utilizado en los certificados SSL que permiten mantener una comunicación cifrada y segura en la Web. Desde el año 2005, se conocieron ciertas deficiencias en dicho algoritmo, que demostraron que el mismo dejó de brindar la seguridad para el cual había sido desarrollado. Debido a ello, en 2011 la Organización de Autoridades Certificantes y Proveedores de Navegadores Web (CA/B), determinó dejar de utilizar este algoritmo, declarándolo como obsoleto. Microsoft, Google, Apple, Mozilla y Opera entre otros, como miembros del CA/B, anunciaron que sus navegadores: Internet Explorer, Google Chrome, Safari, Opera, etc. dejarán de aceptar como válidos los certificados que utilicen el algoritmo SHA-1 a partir del año 2017. Asimismo, las Autoridades Certificantes Comerciales, también miembros del CA/B, que emiten los Certificados SSL utilizados por los servicios del Organismo, no emiten certificados empleando SHA-1 con vencimiento posterior al 31 de diciembre de 2016. Por ello, antes del 31 de diciembre de 2016, resulta necesario actualizar todos los certificados utilizados por esta Organización para las comunicaciones SSL, reemplazándolos por nuevos certificados que empleen el algoritmo SHA-2. Los usuarios de Webservices provistos por AFIP deberán analizar si estos cambios generan algún tipo de impacto en sus desarrollos. Para ello se actualizaron en el mes de abril de 2015 los Certificados Digitales del entorno de Homologación, utilizando ya para los nuevos certificados el algoritmo SHA-2. Los principales servicios de Homologación que ya están actualizados con certificados SHA-2 son: WSAA- WebService de Autenticación y Autorización Factura Electrónica - Webservices de Factura Electrónica (WSFE/WSFEX/WSFECA/WSMTXCA/WSCDC) BFE - Webservice de Bonos Fiscales Electrónicos CTG - Webservice de Código de Trazabilidad de Granos Webservice de Juegos de Azar (JAZA) Webservice de Consulta a Padrón Webservice de Consulta y Lectura de Comunicaciones de eVentanilla Los cambios en el entorno de Producción se harán efectivos el día Martes 01/11/2016. Por lo tanto se sugiere efectuar las modificaciones pertinentes antes de esa fecha. Es importante aclarar que este cambio NO AFECTA a los usuarios que utilizan los servicios web de la AFIP con sus navegadores de Internet. Sólo deberán evaluar el impacto aquellos usuarios de Webservices SOAP. Todo lo informado en el presente correo se encuentra publicado en el micrositio de Webservices (http://www.afip.gob.ar/ws/) DIRECCION DE INFRAESTRUCTURA TECNOLOGICA DIRECCION DE OPERACIONES INFORMATICAS SUBDIRECCION GENERAL DE SISTEMAS Y TELECOMUNICACIONES
