martes, 6 de septiembre de 2016

Renovación certificados SSL AFIP

Tener en cuenta que la renovación de certificados SSL que comunica AFIP para el 01/11/2016 no tiene relación con los certificados PFX (o CSR) de firma digital tramitados para cada CUIT. Ni implica ningún cambio técnico ni de instalador o programación ni tiene relación con cualquier otro cambio en la tramitación de certificados PFX (como figuran en post anteriores)

La única condición es que las URL de los servidores estén accesibles, para el caso de WSFEv1 homlogación es la de siempre:
https://wswhomo.afip.gov.ar/wsfev1/service.asmx?wsdl
y WSFEv1 producción también permanece sin cambios:
https://servicios1.afip.gov.ar/wsfev1/service.asmx?wsdl

Para tener más claro el comunicado de AFIP si actualmente se abre desde un navegador (por ejemplo chrome) la URL del WSFEv1 homologación se puede comprobar que esta es mostrada en https "con el candado verde" como una página auténtica y segura (haciendo doble click en el candado se puede ver más información) Esto es asi porque los servidores de homologación de AFIP ya están usando esta nueva tecnología de cifrado.

Mientras que si se hace los mismo con la URL del servidor de producción esta es mostrada en https pero "con el candado gris" señal que el cifrado usado por la página es por ahora reconocido como auténtico pero  débil (propenso a ataques) y debe ser actualizado. A esta actualización se refiere el comunicado de AFIP.

Generalmente todas las versiones de windows e internet explorer a partir del 01/11 reconocerán  la URL del WSFEv1 cae como auténtica (candado verde) sin pasos adicionales.

Si por algún motivo esto no ocurre (normalmente versiones muy viejas de windows, o de instalaciones incompletas) se recibirá el error "no se pudo establecer una conexión segura SSL" una mensaje de error que se encuentra ya ampliamente documentado en la guia de errores comunes con su motivo y solución.

Una forma de verificar esto es desde ahora entrar a la URL del WSFEv1 cae homologación que ya implementa la nueva tecnología (o ejecutar el método f1dummy en modo test)

Habrá mas post sobre esto si es necesario alguna prueba o verificación adicional.


8 comentarios:

  1. Hola. Lo que noto, en la afip, en la generación de la clave que cambian de 1024 a 2048. Todos los certificados que he generado son con 1024 y están andando. Este cambio está relacionado con el cambio de la referencia ?
    Antes era :
    openssl genrsa -out MiClavePrivada 1024
    Ahora es :
    openssl genrsa -out MiClavePrivada 2048
    Podrían aclararme esto ?
    Saludos

    ResponderEliminar
  2. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  3. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  4. Como figuran en el post (y anteriores) la generación de certificados PFX del emisor (cliente) no tiene relación con los certificados SSL que usa AFIP (y todas la páginas) para autenticar sus servidores. el cambio de certificados (PFX) y su largo de clave se refiere a RSA (clave privada y pública) y no tiene relación con el SSL Y SHA. Aunque indirectamente todos los certificados (PFX, Y SSL) están relacionados puesto que todos sirven para conectar a un servidor cumplen funciones muy diferentes y cada cambio es independiente de los demás

    ResponderEliminar
  5. Esto quiere decir que no tenemos que generar los certificados del cliente nuevamente. sino agregar al windows los certificados nuevos Geotrust Global CA. y AddTrust External CA Root que dice en la página de http://www.afip.gob.ar/ws/paso3.asp.
    Es así ??!! Gracias

    ResponderEliminar
  6. Como figuran en el post no es necesaria ningún accion, los certificados SSL son reconocidos automáticamente, excepto casos excepcionales. Quienes estuvieron usando el modo homologación (cuyos sevidores ya actualizaron los SSL) en los ultimos meses pasaron de SHA1 a SHA2 sin notar el cambio

    ResponderEliminar
  7. Ok!. De todos modos sucribirse al blog para recibir alertas. Los comunicados de AFIP pueden ser confusos y faltar información. Pero si como cita AFIP los servidores de homologación ya hicieron el cambio (algo que se puede verse en la URL citada) instaladores y certificados anteriores continuan conectando al servidor homologacion sin cambios.

    ResponderEliminar