Pablo, Los certificados de produccion los podes renovar Ya!.
Saludos, Pancho Córdoba Argentina El lun., 12 sept. 2016 a las 20:05, Pablo Pioli (<[email protected]>) escribió: > Dentro de todas las suposiciones, estoy suponiendo que van a seguir > aceptando los certificados con SHA1 hasta su vencimiento de Febrero. > > Justo por esa fecha las actualizaciones de Windows van a bloquear su > utilizacion, asi que por mas que uno quisiera continuar utilizandolos seria > mas dificultoso. > > Como desarrolladores no deberia afectarnos a menos que usemos alguna > tecnologia muy arcaica (no VFP, a vos te queremos igual). > > Lo que me dejaria mas tranquilo es saber cuando vamos a poder renovar los > certificados de produccion actuales para hacerlo con tiempo. En cuanto > tenga un rato pruebo a ver que pasa. > > Saludos > El 12/9/2016 a las 6:11 p. m., francisco prieto escribió: > > Yo pedi certificado de Produccion SHA1 con 2048 de longitud de clave y > certificados SHA1 y SHA2 con longitud de clave 2048 para ambientes de > homologacion... > > Te los da siempre, pero como digo me aclararon en AFIP que se puede seguir > utlizando SHA1 para los certificados, lo unico que cambia a SHA2 son lo > certificados de servers, que no es lo normal... > > Saludos, > > Pancho > Córdoba > Argentina > > El lun., 12 sept. 2016 a las 18:03, Pablo Pioli (<[email protected]>) > escribió: > > Segun >> >> http://www.afip.gob.ar/ws/comoAfectaElCambio.asp >> >> los certificados actuales sirven solo hasta el 31/12. Antes estaba la >> fecha del 27/02 que era la fecha de vencimiento de los certificados que >> estan emitiendo. >> >> Podrian ser un poco mas claros, pero eso seria esperar demasiado. >> >> >> Alguno pidio un certificado DE PRODUCCION con SHA2? Se lo otorgaron? >> >> >> El 12/9/2016 a las 5:33 p. m., francisco prieto escribió: >> >> Si el certificado con el comando >> >> >> openssl req -in Pedido.crs -noout -text >> >> Te informa >> >> Public-Key: (2048 bit) >> >> o un numero superior, no tenes que hacer ningun cambio. >> >> Si en cambio dice 1024, anda generando un certificado nuevo porque el >> 1/11 te vas a acordar de la madre del jefe de AFIP y tus clientes de tu >> mamá... >> >> Saludos, >> >> Pancho >> Córdoba >> Argentina >> >> >> El lun., 12 sept. 2016 a las 17:27, Lic Claudio E. Segretin (< >> [email protected]>) escribió: >> >>> Muchas gracias y muy claro. Sólo me queda una pregunta… ¿A partir de >>> cuándo se puede empezar a usar los nuevos certificados en producción? ¿Hay >>> que esperar o ya se puede empezar a hacer el cambio? Digo para no llegar al >>> último día. >>> >>> >>> >>> >>> >>> Saludos… >>> >>> Claudio E. Segretin >>> >>> Este mensaje se dirige exclusivamente a su destinatario y puede contener >>> información CONFIDENCIAL sometida a secreto profesional o cuya divulgación >>> este prohibida en virtud de la legislación vigente. Si ha recibido este >>> mensaje por error, le rogamos que nos lo comunique inmediatamente por esta >>> misma vía y proceda a su destrucción. >>> >>> (This message is intended exclusively for its address and may contain >>> information that is CONFIDENTIAL and protected by a professional privilege >>> or whose disclosure is prohibited by law. If this message has been received >>> in error, please immediately notify us via e-mail and delete it.) >>> >>> >>> >>> >>> >>> *De:* [email protected] [mailto:[email protected]] *En nombre de *francisco >>> prieto >>> *Enviado el:* lunes, 12 de septiembre de 2016 16:19 >>> >>> >>> *Para:* GUFA List Member <[email protected]> >>> >>> *Asunto:* [GUFA] Re: [GUFA] RE: [GUFA] RE: [GUFA] Rv: Renovación de >>> Certificados SSL >>> >>> >>> >>> Grupo, >>> >>> >>> >>> Me respondieron de AFIP: >>> >>> Este fue mi mail... >>> >>> > Si sigo las indicaciones de http://www.afip.gob.ar/ws/ >>> > >>> > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 >>> > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj >>> > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT >>> > 20179571219" -out Pedido.crs >>> > >>> > Es decir lo único que cambio es la longitud de la clave y ejecuto el >>> OppenSSL >>> > en modo verificación de la siguiente forma: >>> > >>> > openssl req -in Pedido.crs -noout -text >>> > >>> > Me da la siguiente informacion: >>> > >>> > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, >>> CN=SAYSHELL/serialNumber >>> > =CUIT 20179571219 >>> > Public Key Algorithm: rsaEncryption >>> > Public-Key: (2048 bit) >>> > Signature Algorithm: sha1WithRSAEncryption >>> > >>> > Dice claramente SHA1... es decir esta mal! >>> > >>> > Ahora bien si hago el siguiente cambio >>> > >>> > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 >>> > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj >>> > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT >>> > 20179571219" -out Pedido.crs -sha256 >>> > >>> > y luego de eso vuelvo realizar la comprobacion me devuelve la siguiente >>> > informacion >>> > >>> > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, >>> CN=SAYSHELL/serialNumber >>> > =CUIT 20179571219 >>> > Subject Public Key Info: >>> > Public Key Algorithm: rsaEncryption >>> > Public-Key: (2048 bit) >>> > Signature Algorithm: sha256WithRSAEncryption >>> > >>> > Ahora si es SHA2!!! >>> > >>> > Ya genere el certificado como SHA2 en homologación y me funciona, pero >>> también >>> > me funciona si solo cambio la longitud de la clave... cual es lo >>> correcto para >>> > el 1/11. >>> > >>> >>> Y esta fue la respuesta de AFIP >>> >>> Estimado: >>> >>> Si, es correcto. Sha256 es sólo para los certificados de los servidores, >>> que >>> es independiente al certificado que se utiliza para obtener el ticket de >>> acceso en el WSAA. Puede usar sha1 en ese certificado sin problemas >>> >>> Atte. >>> __________________________________________ >>> División Mesa de Ayuda >>> Departamento de Soporte Técnico >>> Dirección de Operaciones Informáticas >>> >>> Esto significa que lo único que habría que respetar es que la longitud >>> de la clave tenga al menos 2048 caracteres de largo. >>> >>> Para averiguar la longitud de la clave para cada cliente simplemente >>> ejecuta el comando >>> >>> openssl req -in Pedido.crs -noout -text >>> >>> Donde Pedido.crs es el archivo que se genera con el comando >>> >>> >>> C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 >>> C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj >>> "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT >>> 20179571219" -out Pedido.crs >>> >>> Saludos, >>> >>> Pancho >>> >>> >>> >>> >>> >>> El lun., 12 sept. 2016 a las 16:02, Lic Claudio E. Segretin (< >>> [email protected]>) escribió: >>> >>> Estuve leyendo algo más y lo que entiendo es que lo que cambia son los >>> certificados, pero el código que se usa para la autorización sigue siendo >>> válido. ¿Entendí bien? >>> >>> >>> >>> Desde ya muchas gracias por la ayuda. >>> >>> >>> >>> >>> >>> Saludos… >>> >>> Claudio E. Segretin >>> >>> Este mensaje se dirige exclusivamente a su destinatario y puede contener >>> información CONFIDENCIAL sometida a secreto profesional o cuya divulgación >>> este prohibida en virtud de la legislación vigente. Si ha recibido este >>> mensaje por error, le rogamos que nos lo comunique inmediatamente por esta >>> misma vía y proceda a su destrucción. >>> >>> (This message is intended exclusively for its address and may contain >>> information that is CONFIDENTIAL and protected by a professional privilege >>> or whose disclosure is prohibited by law. If this message has been received >>> in error, please immediately notify us via e-mail and delete it.) >>> >>> >>> >>> >>> >>> *De:* [email protected] [mailto:[email protected]] *En nombre de *Lic >>> Claudio E. Segretin >>> >>> >>> *Enviado el:* lunes, 12 de septiembre de 2016 14:51 >>> >>> *Para:* GUFA List Member <[email protected]> >>> >>> >>> *Asunto:* [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL >>> >>> >>> >>> A mí también me llegó. Alguien tiene idea de lo que implica? >>> >>> >>> >>> Gracias desde ya. >>> >>> >>> >>> >>> >>> Saludos… >>> >>> Claudio E. Segretin >>> >>> Este mensaje se dirige exclusivamente a su destinatario y puede contener >>> información CONFIDENCIAL sometida a secreto profesional o cuya divulgación >>> este prohibida en virtud de la legislación vigente. Si ha recibido este >>> mensaje por error, le rogamos que nos lo comunique inmediatamente por esta >>> misma vía y proceda a su destrucción. >>> >>> (This message is intended exclusively for its address and may contain >>> information that is CONFIDENTIAL and protected by a professional privilege >>> or whose disclosure is prohibited by law. If this message has been received >>> in error, please immediately notify us via e-mail and delete it.) >>> >>> >>> >>> >>> >>> >>> >>> *De:* [email protected] [mailto:[email protected] <[email protected]>] *En >>> nombre de *Ricardo Ruben Benitez >>> *Enviado el:* sábado, 10 de septiembre de 2016 10:57 >>> *Para:* GUFA List Member <[email protected]> >>> *Asunto:* [GUFA] Rv: Renovación de Certificados SSL >>> >>> >>> >>> Hola a todos, me ha llegado estode afip, lo comparto. >>> >>> >>> >>> Abrazo, >>> >>> Ricardo Benitez. >>> >>> >>> >>> *rrb-calo* >>> >>> >>> >>> >>> ----- Mensaje reenviado ----- >>> *De:* MailMaster - AFIP <[email protected]> >>> *Para:* >>> *Enviado:* Viernes, 9 de septiembre, 2016 20:06:31 >>> *Asunto:* Renovación de Certificados SSL >>> >>> >>> >>> El 01/11/2016 se renovarán los certificados SSL utilizados por los >>> Webservices de AFIP. Los nuevos certificados utilizarán el algoritmo de >>> encripción SHA-2. >>> >>> >>> >>> SHA-1 vs SHA-2 >>> >>> El algoritmo SHA-1 es ampliamente utilizado en los certificados SSL que >>> permiten mantener una comunicación cifrada y segura en la Web. Desde >>> >>> el año 2005, se conocieron ciertas deficiencias en dicho algoritmo, que >>> demostraron que el mismo dejó de brindar la seguridad para el >>> >>> cual había sido desarrollado. Debido a ello, en 2011 la Organización de >>> Autoridades Certificantes y Proveedores de Navegadores Web (CA/B), >>> >>> determinó dejar de utilizar este algoritmo, declarándolo como obsoleto. >>> >>> Microsoft, Google, Apple, Mozilla y Opera entre otros, como miembros del >>> CA/B, anunciaron que sus navegadores: Internet Explorer, Google Chrome, >>> >>> Safari, Opera, etc. dejarán de aceptar como válidos los certificados que >>> utilicen el algoritmo SHA-1 a partir del año 2017. >>> >>> Asimismo, las Autoridades Certificantes Comerciales, también miembros del >>> CA/B, que emiten los Certificados SSL utilizados por los servicios del >>> >>> Organismo, no emiten certificados empleando SHA-1 con vencimiento posterior >>> al 31 de diciembre de 2016. >>> >>> Por ello, antes del 31 de diciembre de 2016, resulta necesario actualizar >>> todos los certificados utilizados por esta Organización para las >>> comunicaciones SSL, >>> >>> reemplazándolos por nuevos certificados que empleen el algoritmo SHA-2. >>> >>> Los usuarios de Webservices provistos por AFIP deberán analizar si estos >>> cambios generan algún tipo de impacto en sus desarrollos. Para ello se >>> actualizaron >>> >>> en el mes de abril de 2015 los Certificados Digitales del entorno de >>> Homologación, utilizando ya para los nuevos certificados >>> >>> el algoritmo SHA-2. Los principales servicios de Homologación que ya están >>> actualizados con certificados SHA-2 son: >>> >>> WSAA- WebService de Autenticación y Autorización >>> >>> Factura Electrónica - Webservices de Factura Electrónica >>> (WSFE/WSFEX/WSFECA/WSMTXCA/WSCDC) >>> >>> BFE - Webservice de Bonos Fiscales Electrónicos >>> >>> CTG - Webservice de Código de Trazabilidad de Granos >>> >>> Webservice de Juegos de Azar (JAZA) >>> >>> Webservice de Consulta a Padrón >>> >>> Webservice de Consulta y Lectura de Comunicaciones de eVentanilla >>> >>> Los cambios en el entorno de Producción se harán efectivos el día Martes >>> 01/11/2016. Por lo tanto se sugiere efectuar las modificaciones pertinentes >>> >>> antes de esa fecha. >>> >>> Es importante aclarar que este cambio NO AFECTA a los usuarios que utilizan >>> los servicios web de la AFIP con sus navegadores de Internet. >>> >>> Sólo deberán evaluar el impacto aquellos usuarios de Webservices SOAP. >>> >>> Todo lo informado en el presente correo se encuentra publicado en el >>> micrositio de Webservices (http://www.afip.gob.ar/ws/) >>> >>> >>> >>> DIRECCION DE INFRAESTRUCTURA TECNOLOGICA >>> >>> DIRECCION DE OPERACIONES INFORMATICAS >>> >>> SUBDIRECCION GENERAL DE SISTEMAS Y TELECOMUNICACIONES >>> >>> >>> >>>
