[FatturaPA] Sostituzione certificato server SDI

Buongiorno,
abbiamo ricevuto una mail il 21/9 che dice che il 26/9 verranno aggiornati i certificati.

La mail:
Buongiorno,
il certificato server del Sistema di Interscambio servizi.fatturapa.it prossimo alla scadenza, verrà sostituito nella giornata del 26 Settembre p.v., nella fascia oraria 08,45 - 09,45.

I certificati in allegato servono per:

• Sectigo RSA.cer e UserTrustCA.cer: per verificare la validità della chiamata effettuata al Sistema di Interscambio con il nuovo certificato (sono i certificati di CA del nuovo certificato);

-Servizi.fatturapa.it.cer: serve solo a quei soggetti che validano puntualmente la chiamata del Sistema di Interscambio importando anche il certificato SdI (in base alle policy di sicurezza di ciascun nodo).

Si ricorda che non occorre richiedere alcun rinnovo di certificati perché la sostituzione riguarda il Sistema di Interscambio e che il secondo certificato non deve essere usato se non è necessario effettuare il riconoscimento puntuale della chiamata.

Saluti
Segreteria Tecnica SDI

A parte importare le due CA, qualcuno saprebbe spiegare l’utilizzo del Servizi.fatturapa.it.cer?

Grazie
Ciao

Serve per validare la connessione SSL da SDI al tuo web server, cioè lui (il suo client) si presenta con un certificato che il tuo server web puo’ validare con il servizi.fatturapa.it.cer.
In questo modo sei certo che sia davvero lo SDI che si sta connettendo al tuo web server.

Su NGINX lo si usa cosi’

ssl_verify_client on; ssl_verify_depth 3; ssl_client_certificate /etc/nginx/mycerts/prod/caentrate.cer;

No, il certificato servizi.fatturapa.it.cer è quello esposto dal loro server. Il loro client usa un’altro certificato (contenuto nel file SistemaInterscambioFatturaPA.cer) con un CN="Sistema Interscambio Fattura PA", quindi non corrispondente ad un nome di dominio.

Il certificato server loro (servizi.fatturapa.it.cer) non serve a molto, essendo di solito firmato da una CA già inclusa nei sistemi operativi.

Accidenti tutta la questione certificati mi morde sempre !
Hai ragione, quello lì è quello esposto dal loro web server, che scade appunto fra 3 gg (il 28/9).
Di fatto quindi non dovrebbe essere necessario importare esplicitamente i 2 certificati CA che ci han dato, corretto ?
Visto pero’ che io faccio la “verifica puntuale” della chiamata (da SDI a me) devo importare qualcosa ? A questo punto mi vengono i dubbi…
grazie!
AdM

Mi sembra di capire che nei casi in cui non venga verificato il certificato sulle richieste HTTP in entrata, non ci sia nulla da fare?

No, il certificato client del SdI scade a maggio dell’anno prossimo.

Però è possibile configurare il proprio server in modo che non sia necessario toccare niente nemmeno quando aggiornano il loro certificato client. Basta installare il certificato CA dell’AdE e poi verificare che il client SdI presenti un certificato firmato dalla CA dell’AdE con CN = Sistema Interscambio Fattura PA. Dato che il certificato CA dell’AdE (CAEntrate_prod.der) scade nel 2038, se non cambiano il CN del certificato client, non serve toccare niente.

Ciao, ho ricevuto anche io la mail riportata all’inizio dove si dice che il certificato server del Sistema di Interscambio servizi.fatturapa.it è prossimo alla scadenza e verrà sostituito nella giornata del 26 Settembre p.v., nella fascia oraria 08,45 - 09,45. I colleghi tedeschi segnalano che i nuovi certificati hanno valore diversi:
as-is:
Requester: CN = servizi.fatturapa.it and
Issuer: CN = Actalis Organization Validated Server CA G3
nuovi certificati:
Requester: CN = nsoservizi.fatturapa.it
Issuer: CN = Sectigo RSA Organization Validation Secure Server CA
Qualcuno per caso sa se è necessario importare entrambi i nuovi certificati?
Grazie

Io ho ricevuto 2 mail (pec), la prima aveva il certifcato nsoservizi, la seconda il certificato giusto.
Probabilmente hanno fatto un errore nel primo invio ( la seconda mail infatti inizia cosi’:

- Sostituisce mail precedente - 

Buonasera,
....

AdM

Ah ok, ora mi torna in effetti, infatti io già ora verifico la validità del loro client solo usando il CAentrate (come avevo erroneamente risposto piu’ sopra).
Per gli altri certificati, sto a vedere domattina se e cosa esploderà…
… come odio le PKI…

grazie
AdM

Mi chiedo se questa operazione sia davvero necessaria per garantire la sicurezza. Ho paura di sì, se qualcuno indovina (o “trova” in altro modo, e ci sono vari modi per farlo…) qual è il proprio endpoint SDI potrebbe fare delle chiamate farlocche fingendosi di essere l’AdE.

Mi domando per quale motivo uno dovrebbe farlo.
per indicare un iban fraudolento?

Dovrebbe indovinare l’end point
dovrebbe indovinare le partita iva che l’end point gestisce (se non è un proprio cliente la fattura la ricevi e cestini.)
dovrebbe individuare il fornitore di chi riceve la fattura e dovrebbe sperare che non vi siano alcun controllo di corrispondenza tra fatture e merce ricevuta o servizi

Pensavo fosse tutto ok, invece da questa mattina non riceviamo più notifiche e fatture. In log IIS vedo errore 403.13. Per caso qualcuno ha lo stesso problema?

Confermo anche noi dalle 5.00 di stamattina riceviamo errore 403.13…

Ciao per caso hai risolto in qualche modo? Io ho importato il certificato nuovo nella sezione trusted root certification authority ma ricevo sempre errore

Il nostro server ha ripreso a funzionare anche in ricezione dalle 11.56.

Chissà che casino hanno combinato … e pensare che stavo per ricompilare i certificati e reimpostare tutto …

Ad ora è cambiato l’errore in 403.16…

Nel mentre ho aperto una segnalazione allo SDI, mi faranno sapere… Speriamo

Confermo, ora errore 403 16

Ad ora (12.51) sto ricevendo ed inviandocorrettamente e dai logs server non trovo più errori 403 ma solo OK (200) all’endpoint TrasmissioneFatture

Ma una domanda dei certificati nuovi arrivati da sdi, cosa ne hai fatto? Io li ho installati, rimossi, reinstallati… giusto per non diventar matto per nulla. Grazie