Hola Pancho
Ayer generé para el certif de homologación:openssl genrsa -out privada.key
2048openssl req -new -key privada.key -subj
"/C=AR/O=NNNN/CN=estela/serialNumber=CUIT xxxxxxxxx" -out pedidoEstela.csr
Para verificar Sha1 o Sha2 hice lo que indicás: openssl req -in
pedidoEstela.csr -noout -text
y me devuelve SAH256 sin haberle puesto -sha256
Estuve probando e intermitentemente anduvo.
Ahora bien, a qué se refiere la respuesta que te dicen que sólo son para los
servidores, se refiere a los csr para pedir nuevos crt?:
Y esta fue la respuesta de AFIP
Estimado:
Si, es correcto. Sha256 es sólo para los certificados de los servidores, que
es independiente al certificado que se utiliza para obtener el ticket de
acceso en el WSAA. Puede usar sha1 en ese certificado sin problemas
Saludos Lic. Estela LázaroD&SIP
Desarrollo y Servicios Informáticos Profesionales
www.dsip.com.ar
Estela en LinkedIn
De: francisco prieto <[email protected]>
Para: GUFA List Member <[email protected]>
Enviado: Lunes, 12 de septiembre, 2016 20:14:47
Asunto: [GUFA] Re: [GUFA] Re: Re: [GUFA] Re: Re: [GUFA] RE: [GUFA] Re: [GUFA]
RE: [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL
Pablo,
Los certificados de produccion los podes renovar Ya!.
Saludos,
PanchoCórdobaArgentina
El lun., 12 sept. 2016 a las 20:05, Pablo Pioli (<[email protected]>) escribió:
Dentro de todas las suposiciones, estoy suponiendo que van a seguir aceptando
los certificados con SHA1 hasta su vencimiento de Febrero. Justo por esa fecha
las actualizaciones de Windows van a bloquear su utilizacion, asi que por mas
que uno quisiera continuar utilizandolos seria mas dificultoso. Como
desarrolladores no deberia afectarnos a menos que usemos alguna tecnologia muy
arcaica (no VFP, a vos te queremos igual). Lo que me dejaria mas tranquilo es
saber cuando vamos a poder renovar los certificados de produccion actuales para
hacerlo con tiempo. En cuanto tenga un rato pruebo a ver que pasa. Saludos El
12/9/2016 a las 6:11 p. m., francisco prieto escribió:
Yo pedi certificado de Produccion SHA1 con 2048 de longitud de clave y
certificados SHA1 y SHA2 con longitud de clave 2048 para ambientes de
homologacion...
Te los da siempre, pero como digo me aclararon en AFIP que se puede seguir
utlizando SHA1 para los certificados, lo unico que cambia a SHA2 son lo
certificados de servers, que no es lo normal...
Saludos,
Pancho
Córdoba
Argentina
El lun., 12 sept. 2016 a las 18:03, Pablo Pioli (<[email protected]>)
escribió:
Segun http://www.afip.gob.ar/ws/comoAfectaElCambio.asp los certificados
actuales sirven solo hasta el 31/12. Antes estaba la fecha del 27/02 que era la
fecha de vencimiento de los certificados que estan emitiendo. Podrian ser un
poco mas claros, pero eso seria esperar demasiado.
Alguno pidio un certificado DE PRODUCCION con SHA2? Se lo otorgaron?
El 12/9/2016 a las 5:33 p. m., francisco prieto escribió:
Si el certificado con el comando
openssl req -in Pedido.crs -noout -text
Te informa
Public-Key: (2048 bit)
o un numero superior, no tenes que hacer ningun cambio.
Si en cambio dice 1024, anda generando un certificado nuevo porque el
1/11 te vas a acordar de la madre del jefe de AFIP y tus clientes de tu mamá...
Saludos,
Pancho
Córdoba
Argentina
El lun., 12 sept. 2016 a las 17:27, Lic Claudio E. Segretin
(<[email protected]>) escribió:
Muchas gracias y muy claro. Sólo me queda una pregunta… ¿A partir de cuándo
se puede empezar a usar los nuevos certificados en producción? ¿Hay que esperar
o ya se puede empezar a hacer el cambio? Digo para no llegar al último día.
Saludos… Claudio E. Segretin Este mensaje se dirige exclusivamente a su
destinatario y puede contener información CONFIDENCIAL sometida a secreto
profesional o cuya divulgación este prohibida en virtud de la legislación
vigente. Si ha recibido este mensaje por error, le rogamos que nos lo
comunique inmediatamente por esta misma vía y proceda a su destrucción. (This
message is intended exclusively for its address and may contain information
that is CONFIDENTIAL and protected by a professional privilege or whose
disclosure is prohibited by law. If this message has been received in error,
please immediately notify us via e-mail and delete it.) De:
[email protected] [mailto:[email protected]] En nombre de francisco prieto
Enviado el: lunes, 12 de septiembre de 2016 16:19
Para: GUFA List Member <[email protected]>
Asunto: [GUFA] Re: [GUFA] RE: [GUFA] RE: [GUFA] Rv: Renovación de
Certificados SSL Grupo, Me respondieron de AFIP: Este fue mi
mail...
> Si sigo las indicaciones de http://www.afip.gob.ar/ws/
>
> C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048
> C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj
> "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT
> 20179571219" -out Pedido.crs
>
> Es decir lo único que cambio es la longitud de la clave y ejecuto el OppenSSL
> en modo verificación de la siguiente forma:
>
> openssl req -in Pedido.crs -noout -text
>
> Me da la siguiente informacion:
>
> Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber
> =CUIT 20179571219
> Public Key Algorithm: rsaEncryption
> Public-Key: (2048 bit)
> Signature Algorithm: sha1WithRSAEncryption
>
> Dice claramente SHA1... es decir esta mal!
>
> Ahora bien si hago el siguiente cambio
>
> C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048
> C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj
> "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT
> 20179571219" -out Pedido.crs -sha256
>
> y luego de eso vuelvo realizar la comprobacion me devuelve la siguiente
> informacion
>
> Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber
> =CUIT 20179571219
> Subject Public Key Info:
> Public Key Algorithm: rsaEncryption
> Public-Key: (2048 bit)
> Signature Algorithm: sha256WithRSAEncryption
>
> Ahora si es SHA2!!!
>
> Ya genere el certificado como SHA2 en homologación y me funciona, pero
> también
> me funciona si solo cambio la longitud de la clave... cual es lo correcto
> para
> el 1/11.
> Y esta fue la respuesta de AFIP
Estimado:
Si, es correcto. Sha256 es sólo para los certificados de los servidores, que
es independiente al certificado que se utiliza para obtener el ticket de
acceso en el WSAA. Puede usar sha1 en ese certificado sin problemas
Atte.
__________________________________________
División Mesa de Ayuda
Departamento de Soporte Técnico
Dirección de Operaciones Informáticas Esto significa que lo único que habría
que respetar es que la longitud de la clave tenga al menos 2048 caracteres de
largo. Para averiguar la longitud de la clave para cada cliente simplemente
ejecuta el comando
openssl req -in Pedido.crs -noout -text Donde Pedido.crs es el archivo que se
genera con el comando
C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048
C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj
"/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT
20179571219" -out Pedido.crs Saludos, Pancho El lun., 12
sept. 2016 a las 16:02, Lic Claudio E. Segretin (<[email protected]>)
escribió:
Estuve leyendo algo más y lo que entiendo es que lo que cambia son los
certificados, pero el código que se usa para la autorización sigue siendo
válido. ¿Entendí bien? Desde ya muchas gracias por la ayuda.
Saludos… Claudio E. Segretin Este mensaje se dirige exclusivamente a su
destinatario y puede contener información CONFIDENCIAL sometida a secreto
profesional o cuya divulgación este prohibida en virtud de la legislación
vigente. Si ha recibido este mensaje por error, le rogamos que nos lo
comunique inmediatamente por esta misma vía y proceda a su destrucción. (This
message is intended exclusively for its address and may contain information
that is CONFIDENTIAL and protected by a professional privilege or whose
disclosure is prohibited by law. If this message has been received in error,
please immediately notify us via e-mail and delete it.) De:
[email protected] [mailto:[email protected]] En nombre de Lic Claudio E. Segretin
Enviado el: lunes, 12 de septiembre de 2016 14:51 Para: GUFA List
Member <[email protected]>
Asunto: [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL A mí
también me llegó. Alguien tiene idea de lo que implica? Gracias desde ya.
Saludos… Claudio E. Segretin Este mensaje se dirige exclusivamente a su
destinatario y puede contener información CONFIDENCIAL sometida a secreto
profesional o cuya divulgación este prohibida en virtud de la legislación
vigente. Si ha recibido este mensaje por error, le rogamos que nos lo
comunique inmediatamente por esta misma vía y proceda a su destrucción. (This
message is intended exclusively for its address and may contain information
that is CONFIDENTIAL and protected by a professional privilege or whose
disclosure is prohibited by law. If this message has been received in error,
please immediately notify us via e-mail and delete it.) De:
[email protected] [mailto:[email protected]] En nombre de Ricardo Ruben Benitez
Enviado el: sábado, 10 de septiembre de 2016 10:57
Para: GUFA List Member <[email protected]>
Asunto: [GUFA] Rv: Renovación de Certificados SSL Hola a todos, me ha
llegado estode afip, lo comparto. Abrazo, Ricardo Benitez.
rrb-calo
----- Mensaje reenviado -----
De: MailMaster - AFIP <[email protected]>
Para:
Enviado: Viernes, 9 de septiembre, 2016 20:06:31
Asunto: Renovación de Certificados SSL El 01/11/2016 se renovarán los
certificados SSL utilizados por los Webservices de AFIP. Los nuevos
certificados utilizarán el algoritmo de encripción SHA-2. SHA-1 vs SHA-2 El
algoritmo SHA-1 es ampliamente utilizado en los certificados SSL que permiten
mantener una comunicación cifrada y segura en la Web. Desde el año 2005, se
conocieron ciertas deficiencias en dicho algoritmo, que demostraron que el
mismo dejó de brindar la seguridad para el cual había sido desarrollado.
Debido a ello, en 2011 la Organización de Autoridades Certificantes y
Proveedores de Navegadores Web (CA/B), determinó dejar de utilizar este
algoritmo, declarándolo como obsoleto. Microsoft, Google, Apple, Mozilla y
Opera entre otros, como miembros del CA/B, anunciaron que sus navegadores:
Internet Explorer, Google Chrome, Safari, Opera, etc. dejarán de aceptar como
válidos los certificados que utilicen el algoritmo SHA-1 a partir del año 2017.
Asimismo, las Autoridades Certificantes Comerciales, también miembros del CA/B,
que emiten los Certificados SSL utilizados por los servicios del Organismo, no
emiten certificados empleando SHA-1 con vencimiento posterior al 31 de
diciembre de 2016. Por ello, antes del 31 de diciembre de 2016, resulta
necesario actualizar todos los certificados utilizados por esta Organización
para las comunicaciones SSL, reemplazándolos por nuevos certificados que
empleen el algoritmo SHA-2. Los usuarios de Webservices provistos por AFIP
deberán analizar si estos cambios generan algún tipo de impacto en sus
desarrollos. Para ello se actualizaron en el mes de abril de 2015 los
Certificados Digitales del entorno de Homologación, utilizando ya para los
nuevos certificados el algoritmo SHA-2. Los principales servicios de
Homologación que ya están actualizados con certificados SHA-2 son: WSAA-
WebService de Autenticación y Autorización Factura Electrónica - Webservices
de Factura Electrónica (WSFE/WSFEX/WSFECA/WSMTXCA/WSCDC) BFE - Webservice de
Bonos Fiscales Electrónicos CTG - Webservice de Código de Trazabilidad de
Granos Webservice de Juegos de Azar (JAZA) Webservice de Consulta a
Padrón Webservice de Consulta y Lectura de Comunicaciones de eVentanilla Los
cambios en el entorno de Producción se harán efectivos el día Martes
01/11/2016. Por lo tanto se sugiere efectuar las modificaciones pertinentes
antes de esa fecha. Es importante aclarar que este cambio NO AFECTA a los
usuarios que utilizan los servicios web de la AFIP con sus navegadores de
Internet. Sólo deberán evaluar el impacto aquellos usuarios de Webservices
SOAP. Todo lo informado en el presente correo se encuentra publicado en el
micrositio de Webservices (http://www.afip.gob.ar/ws/) DIRECCION DE
INFRAESTRUCTURA TECNOLOGICA DIRECCION DE OPERACIONES INFORMATICAS SUBDIRECCION
GENERAL DE SISTEMAS Y TELECOMUNICACIONES
