Altra ricezione 12.54… comunque ho messo un log che logga il certificato con cui chiamano, appena arriva la prossima chiamata lo scrivo qui.
Sul canale slack c’è chi dice che le chiamate arrivano ancora con l’issuer “/C=IT/O=Agenzia delle Entrate/OU=Servizi Telematici/CN=CA Agenzia delle Entrate”, e che quindi ha riportato la configurazione a come era prima.
Anche io ho rimesso la configurazione originale e ignorato quindi ciò che veniva richiesto dalla PEC, poi farò qualcosa se vedrò fallire le chiamate.
Confermo ricevute altre tre chiamate, tutte con certificati
{0,"/C=IT/O=Agenzia delle Entrate/OU=Servizi Telematici/CN=Sistema Interscambio Fattura PA","/C=IT/O=Agenzia delle Entrate/OU=Servizi Telematici/CN=CA Agenzia delle Entrate"}
Ieri ho notato anche io quel “dal”, ma dopo aver verificato che l’IP da cui arrivano le chiamate NON corrisponde al dominio in questione ho dedotto che, invece di supporre che tutta la mail fosse una farneticazione, ci fosse solo una “D” di troppo e si dovesse leggere “chiamata effettuata AL Sistema di Interscambio”
In base a https://crt.sh/?q=servizi.fatturapa.it dobbiamo attenderci che il certificato server per servizi.fatturapa.it, in sostituzione di quello in scadenza il prossimo 26 gennaio 2020, sarà rilasciato da Actalis anziché Let’s Encrypt?
Si … è appena arrivata la comunicazione
anche in questo caso non dovrebbe esserci nulla da fare se non erro.
Si, Actalis è nelle distro linux dal 2012, per esempio … suppongo che l’abbiano cambiata di nuovo per evitarsi problemi.
Forse la filosofia di Let’s Encrypt si adattava male alla loro infrastruttura. Let’s Encrypt prevede un aggiornamento frequente dei certificati (max 3 mesi), cosa che di fatto costringe ad automatizzare la cosa se non si vuole diventare matti. Può darsi che l’architettura della loro infrastruttura renda difficile l’aggiornamento e l’installazione automatica dei certificati e dopo averlo fatto a mano una volta, si sono resi conto che era meglio un certificato tradizionale.
Ho ricevuto via PEC la comunicazione che entro il 31/05/2021 saranno sostituiti i certificati:
- caentrate.der
- SistemaInterscambioFatturaPA.cer
- SDI-XXXXXXXXXXX-Server.cer
- SDI-XXXXXXXXXXX-Client.cer
A qualcuno è già capitato di doverli sostituirli? quanti giorni prima di solito vengono inviati?
Ciao
sto aspettando questa pec, mi sai dire il mittente? da chi ti è arrivata?
Grazie
Mari
Anche noi abbiamo ricevuto la comunicazione via PEC da noreply.sdi@pec.fatturapa.it. Anzi, ne abbiamo ricevute tre identiche a distanza di un minuto l’una dall’altra.
Nel testo però non c’era l’elenco dei certificati che verranno sostituiti. Dice solo:
I certificati necessari per l’interazione con il Sistema di Interscambio attraverso il Servizio SDICoop scadranno in data 31/05/2021
Il Sistema invierà automaticamente nuovi certificati all’indirizzo pec xxxxx@yyyyy.it generandoli a partire dalle ultime CSR inviate. Se si ha la necessità di utilizzare nuove CSR per i nuovi certificati, occorre procedere con una richiesta di Emissione nuovi certificati disponibile sul sito: http://www.fatturapa.gov.it/
a noi è arrivata da noreply.sdi@pec.fatturapa.it e il testo è perfettamente identico a quello scritto da @vbato
I certificati necessari per l’interazione con il Sistema di Interscambio attraverso il Servizio SDICoop scadranno in data 31/05/2021
Il Sistema invierà automaticamente nuovi certificati all’indirizzo pec xxxxx@yyyyy.it generandoli a partire dalle ultime CSR inviate. Se si ha la necessità di utilizzare nuove CSR per i nuovi certificati, occorre procedere con una richiesta di Emissione nuovi certificati disponibile sul sito: http://www.fatturapa.gov.it/
Anche noi, ne abbiamo ricevute due una dietro l’altra…
Che voi sappiate, la richiesta di nuovi certificati a partire da nuova private key (e quindi nuovo CSR) non invalida in qualche modo i certificati attualmente attivi vero? Dubito lo faccia, ma essendo materia delicata cerco conferme 
In linea di principio no, perchè ogni certificato ha una data di inizio e una di fine, tanto è vero, come nel caso dell’https, tu puoi in qualsiasi momento richiedere nuovi certificati senza perdere la validità dei vecchi.
Certo, qui la faccenda è diversa e secondo me conviene prima chiedere, non vorrei che emettendo un nuovo certivicato basato su nuova csr, lato SdI il server non riconosca più il vecchio e non lo accetti più…
ma a meno ché uno non ci abbia già sbattuto la testa contro, credo che la tua unica speranza sia chiedere conferma direttamente allo SdI.
Ciao condivido le informazioni ottenute a riguardo:
Gentile Utente,
Le comunichiamo che, prima della scadenza, i certificati vengono rigenerati in automatico. Se desidera richiederli in autonomia può effettuarlo prima della naturale scadenza caricando csr con chiavi private diverse. I vecchi certificati sono validi fino alla scadenza (quindi possono convivere con i nuovi; ma attenzione la CA emittente è diversa).
Cordiali saluti.
Assistenza Fatture e Corrispettivi
1 Mi Piace
Anche noi abbiamo ricevuto 3 PEC una dietro l’altra, identiche tra loro e uguali a quelle che avete riportato. Qualcuno ha per caso ricevuto i nuovi certificati o richiesti di nuovi?
Nessuna comunicazione fin ora… ma credo che credibilmente non li inviano prima di due settimane dalla scadenza
Ciao a tutti, il mio consulente IT ha un problema: non riesce a trovare la password del file SDI-00123456789_client.cer
Qualcuno ha idea di come reperire questa fantomatica password? Il 31 maggio scade il certificato e senza pw a quanto pare non riesce a rinnovarlo, con tutte le conseguenze annesse e connesse…
Il file SDI-XXXXXX_client.cer, così come prodotto dall’AdE, di suo non ha una password. Presumo che la password sia quella della chiave privata corrispondente e se non ve la siete segnata, non c’è modo di recuperarla.
Se il vostro applicativo sta funzionando, presumo però che abbiate installato il certificato su un server Windows. Non ne sono sicuro, ma dovrebbe essere possibile esportare il certificato con la chiave (in formato .pfx, eventualmente crittato con una nuova password).
In ogni caso è possibile emettere nuovi certificati in qualsiasi momento attraverso il servizio di gestione del canale, andando qui:
e poi su “Gestire il canale”.
Potete generare delle nuove CSR con una nuova chiave, di cui però conviene che vi salviate la password.