martes, 13 de septiembre de 2016

Renovacion certificados SSL II

Como se detalla en los post anteriores, los certificados SSL no tienen relación con los certificados PFX. Aunque ambos son certificados digitales que usan SHA, RSA y otros algoritmos, cumplen funciones completamente diferentes (SSL certifica a un servidor y PFX certifica a un cliente) el cambio en uno de ellos no implica cambios en el otro

Por tal motivo todos los certificados PFX son válidos hasta su fecha de vencimiento.

Y en cualquier fecha del año la única condición es que la URL del servidor (homologación o producción) esté accesible en modo seguro (con el "candado" https) y el certificado PFX no esté vencido.

Como ejemplo el servidor WSFEv1 de homologación (URL ) ya implementa certificados SSL SHA2 (como figuran en los post anteriores) pero es posible obtener ticket de acceso y autorizar con certificados PFX del año pasado o anteriores (generados con SHA1) siempre que no estén vencidos.

Del mismo modo el largo de clave RSA (también ver post anteriores) al solicitar un certificado PFX no tiene relación directa con el algoritmo SHA

Y en resumen cada cambio o actualización es por separado y no implica cambios en el código.

martes, 6 de septiembre de 2016

Renovación certificados SSL AFIP

Tener en cuenta que la renovación de certificados SSL que comunica AFIP para el 01/11/2016 no tiene relación con los certificados PFX (o CSR) de firma digital tramitados para cada CUIT. Ni implica ningún cambio técnico ni de instalador o programación ni tiene relación con cualquier otro cambio en la tramitación de certificados PFX (como figuran en post anteriores)

La única condición es que las URL de los servidores estén accesibles, para el caso de WSFEv1 homlogación es la de siempre:
https://wswhomo.afip.gov.ar/wsfev1/service.asmx?wsdl
y WSFEv1 producción también permanece sin cambios:
https://servicios1.afip.gov.ar/wsfev1/service.asmx?wsdl

Para tener más claro el comunicado de AFIP si actualmente se abre desde un navegador (por ejemplo chrome) la URL del WSFEv1 homologación se puede comprobar que esta es mostrada en https "con el candado verde" como una página auténtica y segura (haciendo doble click en el candado se puede ver más información) Esto es asi porque los servidores de homologación de AFIP ya están usando esta nueva tecnología de cifrado.

Mientras que si se hace los mismo con la URL del servidor de producción esta es mostrada en https pero "con el candado gris" señal que el cifrado usado por la página es por ahora reconocido como auténtico pero  débil (propenso a ataques) y debe ser actualizado. A esta actualización se refiere el comunicado de AFIP.

Generalmente todas las versiones de windows e internet explorer a partir del 01/11 reconocerán  la URL del WSFEv1 cae como auténtica (candado verde) sin pasos adicionales.

Si por algún motivo esto no ocurre (normalmente versiones muy viejas de windows, o de instalaciones incompletas) se recibirá el error "no se pudo establecer una conexión segura SSL" una mensaje de error que se encuentra ya ampliamente documentado en la guia de errores comunes con su motivo y solución.

Una forma de verificar esto es desde ahora entrar a la URL del WSFEv1 cae homologación que ya implementa la nueva tecnología (o ejecutar el método f1dummy en modo test)

Habrá mas post sobre esto si es necesario alguna prueba o verificación adicional.