Segun
http://www.afip.gob.ar/ws/comoAfectaElCambio.asp
los certificados actuales sirven solo hasta el 31/12. Antes estaba la
fecha del 27/02 que era la fecha de vencimiento de los certificados que
estan emitiendo.
Podrian ser un poco mas claros, pero eso seria esperar demasiado.
Alguno pidio un certificado DE PRODUCCION con SHA2? Se lo otorgaron?
El 12/9/2016 a las 5:33 p. m., francisco prieto escribió:
Si el certificado con el comando
openssl req -in Pedido.crs -noout -text
Te informa
Public-Key: (2048 bit)
o un numero superior, no tenes que hacer ningun cambio.
Si en cambio dice 1024, anda generando un certificado nuevo porque el
1/11 te vas a acordar de la madre del jefe de AFIP y tus clientes de
tu mamá...
Saludos,
Pancho
Córdoba
Argentina
El lun., 12 sept. 2016 a las 17:27, Lic Claudio E. Segretin
(<[email protected] <mailto:[email protected]>>)
escribió:
Muchas gracias y muy claro. Sólo me queda una pregunta… ¿A partir
de cuándo se puede empezar a usar los nuevos certificados en
producción? ¿Hay que esperar o ya se puede empezar a hacer el
cambio? Digo para no llegar al último día.
Saludos…
Claudio E. Segretin
Este mensaje se dirige exclusivamente a su destinatario y puede
contener información CONFIDENCIAL sometida a secreto profesional o
cuya divulgación este prohibida en virtud de la legislación
vigente. Si ha recibido este mensaje por error, le rogamos que
nos lo comunique inmediatamente por esta misma vía y proceda a su
destrucción.
(This message is intended exclusively for its address and may
contain information that is CONFIDENTIAL and protected by a
professional privilege or whose disclosure is prohibited by law.
If this message has been received in error, please immediately
notify us via e-mail and delete it.)
*De:*[email protected] <mailto:[email protected]>
[mailto:[email protected] <mailto:[email protected]>] *En nombre de
*francisco prieto
*Enviado el:* lunes, 12 de septiembre de 2016 16:19
*Para:* GUFA List Member <[email protected] <mailto:[email protected]>>
*Asunto:* [GUFA] Re: [GUFA] RE: [GUFA] RE: [GUFA] Rv: Renovación
de Certificados SSL
Grupo,
Me respondieron de AFIP:
Este fue mi mail...
> Si sigo las indicaciones de http://www.afip.gob.ar/ws/
>
> C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048
> C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj
> "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT
> 20179571219" -out Pedido.crs
>
> Es decir lo único que cambio es la longitud de la clave y
ejecuto el OppenSSL
> en modo verificación de la siguiente forma:
>
> openssl req -in Pedido.crs -noout -text
>
> Me da la siguiente informacion:
>
> Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO,
CN=SAYSHELL/serialNumber
> =CUIT 20179571219
> Public Key Algorithm: rsaEncryption
> Public-Key: (2048 bit)
> Signature Algorithm: sha1WithRSAEncryption
>
> Dice claramente SHA1... es decir esta mal!
>
> Ahora bien si hago el siguiente cambio
>
> C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048
> C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj
> "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT
> 20179571219" -out Pedido.crs -sha256
>
> y luego de eso vuelvo realizar la comprobacion me devuelve la
siguiente
> informacion
>
> Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO,
CN=SAYSHELL/serialNumber
> =CUIT 20179571219
> Subject Public Key Info:
> Public Key Algorithm: rsaEncryption
> Public-Key: (2048 bit)
> Signature Algorithm: sha256WithRSAEncryption
>
> Ahora si es SHA2!!!
>
> Ya genere el certificado como SHA2 en homologación y me
funciona, pero también
> me funciona si solo cambio la longitud de la clave... cual es lo
correcto para
> el 1/11.
>
Y esta fue la respuesta de AFIP
Estimado:
Si, es correcto. Sha256 es sólo para los certificados de los
servidores, que
es independiente al certificado que se utiliza para obtener el
ticket de
acceso en el WSAA. Puede usar sha1 en ese certificado sin problemas
Atte.
__________________________________________
División Mesa de Ayuda
Departamento de Soporte Técnico
Dirección de Operaciones Informáticas
Esto significa que lo único que habría que respetar es que la
longitud de la clave tenga al menos 2048 caracteres de largo.
Para averiguar la longitud de la clave para cada cliente
simplemente ejecuta el comando
openssl req -in Pedido.crs -noout -text
Donde Pedido.crs es el archivo que se genera con el comando
C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048
C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj
"/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT
20179571219" -out Pedido.crs
Saludos,
Pancho
El lun., 12 sept. 2016 a las 16:02, Lic Claudio E. Segretin
(<[email protected] <mailto:[email protected]>>)
escribió:
Estuve leyendo algo más y lo que entiendo es que lo que cambia
son los certificados, pero el código que se usa para la
autorización sigue siendo válido. ¿Entendí bien?
Desde ya muchas gracias por la ayuda.
Saludos…
Claudio E. Segretin
Este mensaje se dirige exclusivamente a su destinatario y
puede contener información CONFIDENCIAL sometida a secreto
profesional o cuya divulgación este prohibida en virtud de la
legislación vigente. Si ha recibido este mensaje por error,
le rogamos que nos lo comunique inmediatamente por esta misma
vía y proceda a su destrucción.
(This message is intended exclusively for its address and may
contain information that is CONFIDENTIAL and protected by a
professional privilege or whose disclosure is prohibited by
law. If this message has been received in error, please
immediately notify us via e-mail and delete it.)
*De:*[email protected] <mailto:[email protected]>
[mailto:[email protected] <mailto:[email protected]>] *En nombre
de *Lic Claudio E. Segretin
*Enviado el:* lunes, 12 de septiembre de 2016 14:51
*Para:*GUFA List Member <[email protected] <mailto:[email protected]>>
*Asunto:* [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL
A mí también me llegó. Alguien tiene idea de lo que implica?
Gracias desde ya.
Saludos…
Claudio E. Segretin
Este mensaje se dirige exclusivamente a su destinatario y
puede contener información CONFIDENCIAL sometida a secreto
profesional o cuya divulgación este prohibida en virtud de la
legislación vigente. Si ha recibido este mensaje por error,
le rogamos que nos lo comunique inmediatamente por esta misma
vía y proceda a su destrucción.
(This message is intended exclusively for its address and may
contain information that is CONFIDENTIAL and protected by a
professional privilege or whose disclosure is prohibited by
law. If this message has been received in error, please
immediately notify us via e-mail and delete it.)
*De:*[email protected] <mailto:[email protected]>
[mailto:[email protected]] *En nombre de *Ricardo Ruben Benitez
*Enviado el:* sábado, 10 de septiembre de 2016 10:57
*Para:* GUFA List Member <[email protected]
<mailto:[email protected]>>
*Asunto:* [GUFA] Rv: Renovación de Certificados SSL
Hola a todos, me ha llegado estode afip, lo comparto.
Abrazo,
Ricardo Benitez.
*rrb-calo*
----- Mensaje reenviado -----
*De:* MailMaster - AFIP <[email protected]
<mailto:[email protected]>>
*Para:*
*Enviado:* Viernes, 9 de septiembre, 2016 20:06:31
*Asunto:* Renovación de Certificados SSL
El 01/11/2016 se renovarán los certificados SSL utilizados por
los Webservices de AFIP. Los nuevos certificados utilizarán el
algoritmo de encripción SHA-2.
SHA-1 vs SHA-2
El algoritmo SHA-1 es ampliamente utilizado en los
certificados SSL que permiten mantener una comunicación
cifrada y segura en la Web. Desde
el año 2005, se conocieron ciertas deficiencias en dicho
algoritmo, que demostraron que el mismo dejó de brindar la
seguridad para el
cual había sido desarrollado. Debido a ello, en 2011 la
Organización de Autoridades Certificantes y Proveedores de
Navegadores Web (CA/B),
determinó dejar de utilizar este algoritmo, declarándolo como
obsoleto.
Microsoft, Google, Apple, Mozilla y Opera entre otros, como
miembros del CA/B, anunciaron que sus navegadores: Internet
Explorer, Google Chrome,
Safari, Opera, etc. dejarán de aceptar como válidos los
certificados que utilicen el algoritmo SHA-1 a partir del año
2017.
Asimismo, las Autoridades Certificantes Comerciales, también
miembros del CA/B, que emiten los Certificados SSL utilizados
por los servicios del
Organismo, no emiten certificados empleando SHA-1 con
vencimiento posterior al 31 de diciembre de 2016.
Por ello, antes del 31 de diciembre de 2016, resulta necesario
actualizar todos los certificados utilizados por esta
Organización para las comunicaciones SSL,
reemplazándolos por nuevos certificados que empleen el
algoritmo SHA-2.
Los usuarios de Webservices provistos por AFIP deberán
analizar si estos cambios generan algún tipo de impacto en sus
desarrollos. Para ello se actualizaron
en el mes de abril de 2015 los Certificados Digitales del
entorno de Homologación, utilizando ya para los nuevos
certificados
el algoritmo SHA-2. Los principales servicios de Homologación
que ya están actualizados con certificados SHA-2 son:
WSAA- WebService de Autenticación y Autorización
Factura Electrónica - Webservices de Factura Electrónica
(WSFE/WSFEX/WSFECA/WSMTXCA/WSCDC)
BFE - Webservice de Bonos Fiscales Electrónicos
CTG - Webservice de Código de Trazabilidad de Granos
Webservice de Juegos de Azar (JAZA)
Webservice de Consulta a Padrón
Webservice de Consulta y Lectura de Comunicaciones de
eVentanilla
Los cambios en el entorno de Producción se harán efectivos el
día Martes 01/11/2016. Por lo tanto se sugiere efectuar las
modificaciones pertinentes
antes de esa fecha.
Es importante aclarar que este cambio NO AFECTA a los usuarios
que utilizan los servicios web de la AFIP con sus navegadores
de Internet.
Sólo deberán evaluar el impacto aquellos usuarios de
Webservices SOAP.
Todo lo informado en el presente correo se encuentra publicado
en el micrositio de Webservices (http://www.afip.gob.ar/ws/)
DIRECCION DE INFRAESTRUCTURA TECNOLOGICA
DIRECCION DE OPERACIONES INFORMATICAS
SUBDIRECCION GENERAL DE SISTEMAS Y TELECOMUNICACIONES
