Yo pedi certificado de Produccion SHA1 con 2048 de longitud de clave y certificados SHA1 y SHA2 con longitud de clave 2048 para ambientes de homologacion...
Te los da siempre, pero como digo me aclararon en AFIP que se puede seguir utlizando SHA1 para los certificados, lo unico que cambia a SHA2 son lo certificados de servers, que no es lo normal... Saludos, Pancho Córdoba Argentina El lun., 12 sept. 2016 a las 18:03, Pablo Pioli (<[email protected]>) escribió: > Segun > > http://www.afip.gob.ar/ws/comoAfectaElCambio.asp > > los certificados actuales sirven solo hasta el 31/12. Antes estaba la > fecha del 27/02 que era la fecha de vencimiento de los certificados que > estan emitiendo. > > Podrian ser un poco mas claros, pero eso seria esperar demasiado. > > > Alguno pidio un certificado DE PRODUCCION con SHA2? Se lo otorgaron? > > > El 12/9/2016 a las 5:33 p. m., francisco prieto escribió: > > Si el certificado con el comando > > > openssl req -in Pedido.crs -noout -text > > Te informa > > Public-Key: (2048 bit) > > o un numero superior, no tenes que hacer ningun cambio. > > Si en cambio dice 1024, anda generando un certificado nuevo porque el 1/11 > te vas a acordar de la madre del jefe de AFIP y tus clientes de tu mamá... > > Saludos, > > Pancho > Córdoba > Argentina > > > El lun., 12 sept. 2016 a las 17:27, Lic Claudio E. Segretin (< > [email protected]>) escribió: > >> Muchas gracias y muy claro. Sólo me queda una pregunta… ¿A partir de >> cuándo se puede empezar a usar los nuevos certificados en producción? ¿Hay >> que esperar o ya se puede empezar a hacer el cambio? Digo para no llegar al >> último día. >> >> >> >> >> >> Saludos… >> >> Claudio E. Segretin >> >> Este mensaje se dirige exclusivamente a su destinatario y puede contener >> información CONFIDENCIAL sometida a secreto profesional o cuya divulgación >> este prohibida en virtud de la legislación vigente. Si ha recibido este >> mensaje por error, le rogamos que nos lo comunique inmediatamente por esta >> misma vía y proceda a su destrucción. >> >> (This message is intended exclusively for its address and may contain >> information that is CONFIDENTIAL and protected by a professional privilege >> or whose disclosure is prohibited by law. If this message has been received >> in error, please immediately notify us via e-mail and delete it.) >> >> >> >> >> >> *De:* [email protected] [mailto:[email protected]] *En nombre de *francisco >> prieto >> *Enviado el:* lunes, 12 de septiembre de 2016 16:19 >> >> >> *Para:* GUFA List Member <[email protected]> >> >> *Asunto:* [GUFA] Re: [GUFA] RE: [GUFA] RE: [GUFA] Rv: Renovación de >> Certificados SSL >> >> >> >> Grupo, >> >> >> >> Me respondieron de AFIP: >> >> Este fue mi mail... >> >> > Si sigo las indicaciones de http://www.afip.gob.ar/ws/ >> > >> > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 >> > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj >> > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT >> > 20179571219" -out Pedido.crs >> > >> > Es decir lo único que cambio es la longitud de la clave y ejecuto el >> OppenSSL >> > en modo verificación de la siguiente forma: >> > >> > openssl req -in Pedido.crs -noout -text >> > >> > Me da la siguiente informacion: >> > >> > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber >> > =CUIT 20179571219 >> > Public Key Algorithm: rsaEncryption >> > Public-Key: (2048 bit) >> > Signature Algorithm: sha1WithRSAEncryption >> > >> > Dice claramente SHA1... es decir esta mal! >> > >> > Ahora bien si hago el siguiente cambio >> > >> > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 >> > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj >> > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT >> > 20179571219" -out Pedido.crs -sha256 >> > >> > y luego de eso vuelvo realizar la comprobacion me devuelve la siguiente >> > informacion >> > >> > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber >> > =CUIT 20179571219 >> > Subject Public Key Info: >> > Public Key Algorithm: rsaEncryption >> > Public-Key: (2048 bit) >> > Signature Algorithm: sha256WithRSAEncryption >> > >> > Ahora si es SHA2!!! >> > >> > Ya genere el certificado como SHA2 en homologación y me funciona, pero >> también >> > me funciona si solo cambio la longitud de la clave... cual es lo >> correcto para >> > el 1/11. >> > >> >> Y esta fue la respuesta de AFIP >> >> Estimado: >> >> Si, es correcto. Sha256 es sólo para los certificados de los servidores, >> que >> es independiente al certificado que se utiliza para obtener el ticket de >> acceso en el WSAA. Puede usar sha1 en ese certificado sin problemas >> >> Atte. >> __________________________________________ >> División Mesa de Ayuda >> Departamento de Soporte Técnico >> Dirección de Operaciones Informáticas >> >> Esto significa que lo único que habría que respetar es que la longitud de >> la clave tenga al menos 2048 caracteres de largo. >> >> Para averiguar la longitud de la clave para cada cliente simplemente >> ejecuta el comando >> >> openssl req -in Pedido.crs -noout -text >> >> Donde Pedido.crs es el archivo que se genera con el comando >> >> >> C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 >> C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj >> "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT >> 20179571219" -out Pedido.crs >> >> Saludos, >> >> Pancho >> >> >> >> >> >> El lun., 12 sept. 2016 a las 16:02, Lic Claudio E. Segretin (< >> [email protected]>) escribió: >> >> Estuve leyendo algo más y lo que entiendo es que lo que cambia son los >> certificados, pero el código que se usa para la autorización sigue siendo >> válido. ¿Entendí bien? >> >> >> >> Desde ya muchas gracias por la ayuda. >> >> >> >> >> >> Saludos… >> >> Claudio E. Segretin >> >> Este mensaje se dirige exclusivamente a su destinatario y puede contener >> información CONFIDENCIAL sometida a secreto profesional o cuya divulgación >> este prohibida en virtud de la legislación vigente. Si ha recibido este >> mensaje por error, le rogamos que nos lo comunique inmediatamente por esta >> misma vía y proceda a su destrucción. >> >> (This message is intended exclusively for its address and may contain >> information that is CONFIDENTIAL and protected by a professional privilege >> or whose disclosure is prohibited by law. If this message has been received >> in error, please immediately notify us via e-mail and delete it.) >> >> >> >> >> >> *De:* [email protected] [mailto:[email protected]] *En nombre de *Lic >> Claudio E. Segretin >> >> >> *Enviado el:* lunes, 12 de septiembre de 2016 14:51 >> >> *Para:* GUFA List Member <[email protected]> >> >> >> *Asunto:* [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL >> >> >> >> A mí también me llegó. Alguien tiene idea de lo que implica? >> >> >> >> Gracias desde ya. >> >> >> >> >> >> Saludos… >> >> Claudio E. Segretin >> >> Este mensaje se dirige exclusivamente a su destinatario y puede contener >> información CONFIDENCIAL sometida a secreto profesional o cuya divulgación >> este prohibida en virtud de la legislación vigente. Si ha recibido este >> mensaje por error, le rogamos que nos lo comunique inmediatamente por esta >> misma vía y proceda a su destrucción. >> >> (This message is intended exclusively for its address and may contain >> information that is CONFIDENTIAL and protected by a professional privilege >> or whose disclosure is prohibited by law. If this message has been received >> in error, please immediately notify us via e-mail and delete it.) >> >> >> >> >> >> >> >> *De:* [email protected] [mailto:[email protected] <[email protected]>] *En >> nombre de *Ricardo Ruben Benitez >> *Enviado el:* sábado, 10 de septiembre de 2016 10:57 >> *Para:* GUFA List Member <[email protected]> >> *Asunto:* [GUFA] Rv: Renovación de Certificados SSL >> >> >> >> Hola a todos, me ha llegado estode afip, lo comparto. >> >> >> >> Abrazo, >> >> Ricardo Benitez. >> >> >> >> *rrb-calo* >> >> >> >> >> ----- Mensaje reenviado ----- >> *De:* MailMaster - AFIP <[email protected]> >> *Para:* >> *Enviado:* Viernes, 9 de septiembre, 2016 20:06:31 >> *Asunto:* Renovación de Certificados SSL >> >> >> >> El 01/11/2016 se renovarán los certificados SSL utilizados por los >> Webservices de AFIP. Los nuevos certificados utilizarán el algoritmo de >> encripción SHA-2. >> >> >> >> SHA-1 vs SHA-2 >> >> El algoritmo SHA-1 es ampliamente utilizado en los certificados SSL que >> permiten mantener una comunicación cifrada y segura en la Web. Desde >> >> el año 2005, se conocieron ciertas deficiencias en dicho algoritmo, que >> demostraron que el mismo dejó de brindar la seguridad para el >> >> cual había sido desarrollado. Debido a ello, en 2011 la Organización de >> Autoridades Certificantes y Proveedores de Navegadores Web (CA/B), >> >> determinó dejar de utilizar este algoritmo, declarándolo como obsoleto. >> >> Microsoft, Google, Apple, Mozilla y Opera entre otros, como miembros del >> CA/B, anunciaron que sus navegadores: Internet Explorer, Google Chrome, >> >> Safari, Opera, etc. dejarán de aceptar como válidos los certificados que >> utilicen el algoritmo SHA-1 a partir del año 2017. >> >> Asimismo, las Autoridades Certificantes Comerciales, también miembros del >> CA/B, que emiten los Certificados SSL utilizados por los servicios del >> >> Organismo, no emiten certificados empleando SHA-1 con vencimiento posterior >> al 31 de diciembre de 2016. >> >> Por ello, antes del 31 de diciembre de 2016, resulta necesario actualizar >> todos los certificados utilizados por esta Organización para las >> comunicaciones SSL, >> >> reemplazándolos por nuevos certificados que empleen el algoritmo SHA-2. >> >> Los usuarios de Webservices provistos por AFIP deberán analizar si estos >> cambios generan algún tipo de impacto en sus desarrollos. Para ello se >> actualizaron >> >> en el mes de abril de 2015 los Certificados Digitales del entorno de >> Homologación, utilizando ya para los nuevos certificados >> >> el algoritmo SHA-2. Los principales servicios de Homologación que ya están >> actualizados con certificados SHA-2 son: >> >> WSAA- WebService de Autenticación y Autorización >> >> Factura Electrónica - Webservices de Factura Electrónica >> (WSFE/WSFEX/WSFECA/WSMTXCA/WSCDC) >> >> BFE - Webservice de Bonos Fiscales Electrónicos >> >> CTG - Webservice de Código de Trazabilidad de Granos >> >> Webservice de Juegos de Azar (JAZA) >> >> Webservice de Consulta a Padrón >> >> Webservice de Consulta y Lectura de Comunicaciones de eVentanilla >> >> Los cambios en el entorno de Producción se harán efectivos el día Martes >> 01/11/2016. Por lo tanto se sugiere efectuar las modificaciones pertinentes >> >> antes de esa fecha. >> >> Es importante aclarar que este cambio NO AFECTA a los usuarios que utilizan >> los servicios web de la AFIP con sus navegadores de Internet. >> >> Sólo deberán evaluar el impacto aquellos usuarios de Webservices SOAP. >> >> Todo lo informado en el presente correo se encuentra publicado en el >> micrositio de Webservices (http://www.afip.gob.ar/ws/) >> >> >> >> DIRECCION DE INFRAESTRUCTURA TECNOLOGICA >> >> DIRECCION DE OPERACIONES INFORMATICAS >> >> SUBDIRECCION GENERAL DE SISTEMAS Y TELECOMUNICACIONES >> >> >> >>
