Si el certificado con el comando
openssl req -in Pedido.crs -noout -text
Te informa
Public-Key: (2048 bit)
o un numero superior, no tenes que hacer ningun cambio.
Si en cambio dice 1024, anda generando un certificado nuevo
porque el 1/11 te vas a acordar de la madre del jefe de AFIP y
tus clientes de tu mamá...
Saludos,
Pancho
Córdoba
Argentina
El lun., 12 sept. 2016 a las 17:27, Lic Claudio E. Segretin
(<[email protected]
<mailto:[email protected]>>) escribió:
Muchas gracias y muy claro. Sólo me queda una pregunta… ¿A
partir de cuándo se puede empezar a usar los nuevos
certificados en producción? ¿Hay que esperar o ya se puede
empezar a hacer el cambio? Digo para no llegar al último día.
Saludos…
Claudio E. Segretin
Este mensaje se dirige exclusivamente a su destinatario y
puede contener información CONFIDENCIAL sometida a secreto
profesional o cuya divulgación este prohibida en virtud de la
legislación vigente. Si ha recibido este mensaje por error,
le rogamos que nos lo comunique inmediatamente por esta misma
vía y proceda a su destrucción.
(This message is intended exclusively for its address and may
contain information that is CONFIDENTIAL and protected by a
professional privilege or whose disclosure is prohibited by
law. If this message has been received in error, please
immediately notify us via e-mail and delete it.)
*De:*[email protected] <mailto:[email protected]>
[mailto:[email protected] <mailto:[email protected]>] *En nombre
de *francisco prieto
*Enviado el:* lunes, 12 de septiembre de 2016 16:19
*Para:* GUFA List Member <[email protected]
<mailto:[email protected]>>
*Asunto:* [GUFA] Re: [GUFA] RE: [GUFA] RE: [GUFA] Rv:
Renovación de Certificados SSL
Grupo,
Me respondieron de AFIP:
Este fue mi mail...
> Si sigo las indicaciones de http://www.afip.gob.ar/ws/
>
> C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048
> C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj
>
"/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT
> 20179571219" -out Pedido.crs
>
> Es decir lo único que cambio es la longitud de la clave y
ejecuto el OppenSSL
> en modo verificación de la siguiente forma:
>
> openssl req -in Pedido.crs -noout -text
>
> Me da la siguiente informacion:
>
> Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO,
CN=SAYSHELL/serialNumber
> =CUIT 20179571219
> Public Key Algorithm: rsaEncryption
> Public-Key: (2048 bit)
> Signature Algorithm: sha1WithRSAEncryption
>
> Dice claramente SHA1... es decir esta mal!
>
> Ahora bien si hago el siguiente cambio
>
> C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048
> C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj
>
"/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT
> 20179571219" -out Pedido.crs -sha256
>
> y luego de eso vuelvo realizar la comprobacion me devuelve
la siguiente
> informacion
>
> Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO,
CN=SAYSHELL/serialNumber
> =CUIT 20179571219
> Subject Public Key Info:
> Public Key Algorithm: rsaEncryption
> Public-Key: (2048 bit)
> Signature Algorithm: sha256WithRSAEncryption
>
> Ahora si es SHA2!!!
>
> Ya genere el certificado como SHA2 en homologación y me
funciona, pero también
> me funciona si solo cambio la longitud de la clave... cual
es lo correcto para
> el 1/11.
>
Y esta fue la respuesta de AFIP
Estimado:
Si, es correcto. Sha256 es sólo para los certificados de los
servidores, que
es independiente al certificado que se utiliza para obtener
el ticket de
acceso en el WSAA. Puede usar sha1 en ese certificado sin
problemas
Atte.
__________________________________________
División Mesa de Ayuda
Departamento de Soporte Técnico
Dirección de Operaciones Informáticas
Esto significa que lo único que habría que respetar es que la
longitud de la clave tenga al menos 2048 caracteres de largo.
Para averiguar la longitud de la clave para cada cliente
simplemente ejecuta el comando
openssl req -in Pedido.crs -noout -text
Donde Pedido.crs es el archivo que se genera con el comando
C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048
C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj
"/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT
20179571219" -out Pedido.crs
Saludos,
Pancho
El lun., 12 sept. 2016 a las 16:02, Lic Claudio E. Segretin
(<[email protected]
<mailto:[email protected]>>) escribió:
Estuve leyendo algo más y lo que entiendo es que lo que
cambia son los certificados, pero el código que se usa
para la autorización sigue siendo válido. ¿Entendí bien?
Desde ya muchas gracias por la ayuda.
Saludos…
Claudio E. Segretin
Este mensaje se dirige exclusivamente a su destinatario y
puede contener información CONFIDENCIAL sometida a
secreto profesional o cuya divulgación este prohibida en
virtud de la legislación vigente. Si ha recibido este
mensaje por error, le rogamos que nos lo comunique
inmediatamente por esta misma vía y proceda a su destrucción.
(This message is intended exclusively for its address and
may contain information that is CONFIDENTIAL and
protected by a professional privilege or whose disclosure
is prohibited by law. If this message has been received
in error, please immediately notify us via e-mail and
delete it.)
*De:*[email protected] <mailto:[email protected]>
[mailto:[email protected] <mailto:[email protected]>] *En
nombre de *Lic Claudio E. Segretin
*Enviado el:* lunes, 12 de septiembre de 2016 14:51
*Para:*GUFA List Member <[email protected]
<mailto:[email protected]>>
*Asunto:* [GUFA] RE: [GUFA] Rv: Renovación de
Certificados SSL
A mí también me llegó. Alguien tiene idea de lo que implica?
Gracias desde ya.
Saludos…
Claudio E. Segretin
Este mensaje se dirige exclusivamente a su destinatario y
puede contener información CONFIDENCIAL sometida a
secreto profesional o cuya divulgación este prohibida en
virtud de la legislación vigente. Si ha recibido este
mensaje por error, le rogamos que nos lo comunique
inmediatamente por esta misma vía y proceda a su destrucción.
(This message is intended exclusively for its address and
may contain information that is CONFIDENTIAL and
protected by a professional privilege or whose disclosure
is prohibited by law. If this message has been received
in error, please immediately notify us via e-mail and
delete it.)
*De:*[email protected] <mailto:[email protected]>
[mailto:[email protected]] *En nombre de *Ricardo Ruben Benitez
*Enviado el:* sábado, 10 de septiembre de 2016 10:57
*Para:* GUFA List Member <[email protected]
<mailto:[email protected]>>
*Asunto:* [GUFA] Rv: Renovación de Certificados SSL
Hola a todos, me ha llegado estode afip, lo comparto.
Abrazo,
Ricardo Benitez.
*rrb-calo*
----- Mensaje reenviado -----
*De:* MailMaster - AFIP <[email protected]
<mailto:[email protected]>>
*Para:*
*Enviado:* Viernes, 9 de septiembre, 2016 20:06:31
*Asunto:* Renovación de Certificados SSL
El 01/11/2016 se renovarán los certificados SSL
utilizados por los Webservices de AFIP. Los nuevos
certificados utilizarán el algoritmo de encripción SHA-2.
SHA-1 vs SHA-2
El algoritmo SHA-1 es ampliamente utilizado en los
certificados SSL que permiten mantener una comunicación
cifrada y segura en la Web. Desde
el año 2005, se conocieron ciertas deficiencias en dicho
algoritmo, que demostraron que el mismo dejó de brindar
la seguridad para el
cual había sido desarrollado. Debido a ello, en 2011 la
Organización de Autoridades Certificantes y Proveedores
de Navegadores Web (CA/B),
determinó dejar de utilizar este algoritmo, declarándolo
como obsoleto.
Microsoft, Google, Apple, Mozilla y Opera entre otros,
como miembros del CA/B, anunciaron que sus navegadores:
Internet Explorer, Google Chrome,
Safari, Opera, etc. dejarán de aceptar como válidos los
certificados que utilicen el algoritmo SHA-1 a partir del
año 2017.
Asimismo, las Autoridades Certificantes Comerciales,
también miembros del CA/B, que emiten los Certificados
SSL utilizados por los servicios del
Organismo, no emiten certificados empleando SHA-1 con
vencimiento posterior al 31 de diciembre de 2016.
Por ello, antes del 31 de diciembre de 2016, resulta
necesario actualizar todos los certificados utilizados
por esta Organización para las comunicaciones SSL,
reemplazándolos por nuevos certificados que empleen el
algoritmo SHA-2.
Los usuarios de Webservices provistos por AFIP deberán
analizar si estos cambios generan algún tipo de impacto
en sus desarrollos. Para ello se actualizaron
en el mes de abril de 2015 los Certificados Digitales del
entorno de Homologación, utilizando ya para los nuevos
certificados
el algoritmo SHA-2. Los principales servicios de
Homologación que ya están actualizados con certificados
SHA-2 son:
WSAA- WebService de Autenticación y Autorización
Factura Electrónica - Webservices de Factura
Electrónica (WSFE/WSFEX/WSFECA/WSMTXCA/WSCDC)
BFE - Webservice de Bonos Fiscales Electrónicos
CTG - Webservice de Código de Trazabilidad de Granos
Webservice de Juegos de Azar (JAZA)
Webservice de Consulta a Padrón
Webservice de Consulta y Lectura de Comunicaciones de
eVentanilla
Los cambios en el entorno de Producción se harán
efectivos el día Martes 01/11/2016. Por lo tanto se
sugiere efectuar las modificaciones pertinentes
antes de esa fecha.
Es importante aclarar que este cambio NO AFECTA a los
usuarios que utilizan los servicios web de la AFIP con
sus navegadores de Internet.
Sólo deberán evaluar el impacto aquellos usuarios de
Webservices SOAP.
Todo lo informado en el presente correo se encuentra
publicado en el micrositio de Webservices
(http://www.afip.gob.ar/ws/)
DIRECCION DE INFRAESTRUCTURA TECNOLOGICA
DIRECCION DE OPERACIONES INFORMATICAS
SUBDIRECCION GENERAL DE SISTEMAS Y TELECOMUNICACIONES
