Promjena 11.11.2016

Oct 24 at 9:17 AM
Pozdrav,
glupo pitanje jer od nekih kolega dobivam kontradiktorne podatke pa sada ni sam nisam pametan.
11.11.2016 mijenja se fiskalcis certifikat, a od 09.01.2017 ukida se podrška za TLS.1.0.

Da li to znaci da 11.11.2016 je dovoljno samo instalirati fiskalcis certifikat i sve će normalno raditi sa verzijom 2.0, a do 09.01.2017 treba staviti i novu veziju 3.1 ili vec sada treba promijeniti dll, te na windows xp instalirati npr. stunnel ili koristiti windows xp podrsku preko raverus servisa.
TL;DR
sto je sada tocno potrebno napraviti, te da li stranka treba sa svoje strane nešto napraviti.
Oct 24 at 10:08 AM
Koliko ja znam, ovaj certifikat je važan samo ako radiš kontrolu od koga ti stiže JIR (da nije možda od Marsovaca), tako da ako to ne činiš, ne treba ništa mijenjati sve do 9.1.17.
Oct 24 at 10:24 AM
Edited Oct 24 at 10:25 AM
Koristim verziju 2.0 COM dll i ne provjeravam, tako da samo postepeno treba mijenjati 2.0 > 3.1 radi TLS protokola do 09.01.2017, osim ako 2.0 po defaultu ne provjerava pa nisam niti svjestan.
Oct 25 at 12:10 PM
Neznam dali se već može u produkciji koristiti verzija 3.1 ?
Coordinator
Oct 25 at 12:14 PM
Može
Oct 27 at 9:05 AM
Ništa mi više nije jasno da li mi tko može reći da li trebaju svi uzimati nove certifkate. U fini kažu da treba prilagoditi , što ? Kako ?

Uzeo dam demo Fiscal 3 i d promijenio dll na FiskalizacijaDev 3.1 i put za demo i vraća mi Jir, onda bi valjda to bilo to.

Više ne znam što treba što ne.
Oct 28 at 9:01 AM
viggor wrote:
Koliko ja znam, ovaj certifikat je važan samo ako radiš kontrolu od koga ti stiže JIR (da nije možda od Marsovaca), tako da ako to ne činiš, ne treba ništa mijenjati sve do 9.1.17.
a kako znam da li sam do sada radio "kontrolu od koga stize jir"?
koristio sam exe 2.0 verziju sa naredbom fiskalizaj.exe RacunZahtjev "https://cis.porezna-uprava.hr:8449/FiskalizacijaService " "racun.xml" "odgovor.xml" "false true " "FISKAL 1.p12" "lozinka" i uzmem jir iz txt fajla.
da li ta stara 2.0 exe uopce radi kontrolu po defaultu? hoce li stara 2.0 sve nastaviti raditi i nakon 11.11.2016 bez izmjena (do 9.1.2017.)?
i da li nova 3.1 exe po defaultu radi kontrolu da jir nije dosao od marsovaca? ili je sve jednako po tom pitanju kao i sa 2.0?

npr. ako danas novu 3.1 exe postavim da radi u produkciji, ona prestane radit 11.11.?
Coordinator
Oct 28 at 9:27 AM
Do sada (u v2.0) nije bilo automatske provjere potpisa odgovora pristiglih iz CIS-a - nema je niti u verziji 3.1.

Dakle - ako sam nisi to postavljao, što pretpostavljam da nisi, ne treba te brinuti 11.11. niti novi FiskalCis certifikat.

Verzija 2.0 će raditi do 09.01.2017., nakon toga je potreban prelazak na v3.1 - no - preporuka je da se na v3.1. ipak prijeđe i ranije.
Oct 28 at 9:31 AM
Edited Oct 28 at 9:32 AM
digitalni wrote:
a kako znam da li sam do sada radio "kontrolu od koga stize jir"?
Gotovo sam 100% siguran da Raverus v.2 to ne radi automatski, jer su nedavno (ne sjećam se točno kada, ljetos?), zahvaljujući grešci kod izdavanja certifikata, problema imali samo oni (rijetki?) koji su tu kontrolu eksplicitno radili (jer je Finin certifikat valjda bio neispravan). Tada su se vodile rasprave tipa "koji k... to uopće kontroliraš, eto ti ga sad!", "nije stigao JIR od Marsovaca" i slično, s onima koji su te kontrole ugradili u svoje softvere.
Oct 28 at 9:33 AM
odlicno, hvala na odgovoru!
Oct 30 at 3:43 PM
što treba dodati za provjeru sad od 11.11.

dodao sam bool potpisTest = Raverus.FiskalizacijaDEV.PopratneFunkcije.Potpisivanje.ProvjeriPotpis(doc);__

no u tesnoj okolini mi je odgovor uvijek "False"

dali treba još što dodati ?

stavio sam F73.CIS - fiscalis u Pouzdane korjenske ustanove za izdavanje certifikata

Molim pomoć, što ustvari treba napraviti , za jednog laika

if (doc != null)
                    {
                            string jir = Raverus.FiskalizacijaDEV.PopratneFunkcije.XmlDokumenti.DohvatiJir(doc);

             __   bool potpisTest = Raverus.FiskalizacijaDEV.PopratneFunkcije.Potpisivanje.ProvjeriPotpis(doc);__
Oct 31 at 10:16 PM
Sjeća li se netko da li je DEMO server za fiskalizaciju po starom SSL protokolu ugašen ili meni nešto ne štima na test mašini?
Testiram nešto sa starim Raverus v2.0 i Fiskom, koja mi javlja klasičnu "The underlying connection was closed..." grešku.
Imam instaliran svoj DEMO (vrijedi do 2017.) u Pers.\Cert. i Fina Demo Root CA u Trusted Root Cert. Auth.\Cert..

Nešto mi se čini da je netko naveo kako je DEMO SERVER za tu staru varijantu isključen pa bih samo želio potvrdu toga, ako se netko sjeća.
Nov 1 at 7:01 PM
viggor wrote:
Sjeća li se netko da li je DEMO server za fiskalizaciju po starom SSL protokolu ugašen ili meni nešto ne štima na test mašini?
Nešto mi se čini da je netko naveo kako je DEMO SERVER za tu staru varijantu isključen pa bih samo želio potvrdu toga, ako se netko sjeća.
To da DEMO ne radi više po SSL protokolu je ključna promjena koja se dogodila 1.9. da bi se moglo provoditi testiranje.
Nov 6 at 9:42 PM
Samo da budem 100% siguran. Koristim Raverus i certifikat od klijenta je izdan prije 06.12.2015. (izdan je krajem 2012.). 13.06.16 napravio sam one izmjene poslužiteljskog certifikata porezne.

Za mene nema nikakve promjene 11.11.16 (bez obzira da li je os Win7 ili XP)?
Nov 6 at 10:04 PM
Nema promjene.
Nov 7 at 10:54 AM
Kolika je realna opasnost od MitM attack odnosno JIR stigao sa Marsa ?

Mislim da nisam jedini koji je to pitanje postavio, makar samo u svojoj glavi. Kod uspostave TLS konekcije provjeravamo server porezne sa dva Root CA certifikata, ako to prođe šaljemo potpisani XML, porezna nam vraća također potpisani odgovor kojeg u prosjeku ne provjeravamo.
Tako tehnički gledano, netko MitM je u stanju preuzeti TLS 1.2 konekciju i nama odnosno poreznoj, podmetne neispravan podatak. Koliko je to tehnički izvodivo ??

Ako netko ima informaciju, koliko je to u praksi realno za očekivati, bilo bi lijepo da to podijeli sa nama..
Nov 11 at 8:51 AM
Edited Nov 11 at 8:52 AM
Porezna potpisuje poruku da se trgovac osigura od mogucnosti ako porezna u nekom slucaju inzistira na tome da nisu oni izdali JIR nego ga je trgovac sam izmislio.
Sa potpisom se znaci stiti trgovac (a valjda i programska kuca) od porezne uprave.

Dal mozda neko misli da takav scenario nije moguc kod nas u hr? :-)
Nov 11 at 2:09 PM
he-he...
Nov 11 at 2:54 PM
PBDudek wrote:
he-he...
Niš' čudno - nesposobni k'o i država. Ček malo, pa oni i jesu "država", tj. njen (najgori) dio.
Da, sad je sve jasno, klasična SNAFU (Situation Normal, All Fucked Up) situacija.
Nov 11 at 7:06 PM
mpapec wrote:
Porezna potpisuje poruku da se trgovac osigura od mogucnosti ako porezna u nekom slucaju inzistira na tome da nisu oni izdali JIR nego ga je trgovac sam izmislio.
Sa potpisom se znaci stiti trgovac (a valjda i programska kuca) od porezne uprave.
Dal mozda neko misli da takav scenario nije moguc kod nas u hr? :-)
Da takvih stvari je bilo da porezna pita za dokaz od-do, ali tu nam ne može pomoći da li kontroliramo ili ne potpis od porezne. Tu nam pomaže jedino dobro organizirani log files po mogućnosti u UTF-8 formatu, kako bi se mogle napraviti verifikacije potpisa.

U slučaju da se MitM uspio spojiti na našu konekciju, opet imamo bar dvije osnovne priče:
  1. Prva je priča na koju ne možemo utjecati.. slanje ne ispravnih podataka u poreznu. U koliko on pročita naš zahtjev i uspije dekodirati privatni certifikat korisnika (što bi navodno trebao biti manji problem) može poreznoj dostaviti hrpu ne točnih podataka, a u koliko to ne uspije može poreznoj poslati isti XML bezbroj puta, a po novom duplikacije su prilična smetnja i tlaka?
  2. Druga priča je, da je JIR stigao sa Marsa i mi zapišemo JIR koji nije ispravan. Tu sada imamo situaciju da je moguće da je porezna zaprimila račun i generirala JIR kojeg mi nismo dobili. U slučaju bilo koje greške ili problema sa certifikatom sa kojim uspoređujemo potpis porezne dobivamo duplikacije koje kasnije postaju problem jer moraju biti maknute sa dodatnom obradom.
Po meni u koliko MitM, tehnički može narušiti ispravno uspostavljenu i verificiranu CA TLS 1.2 konekciju, moglo bi se reći "he-he..."
Nov 11 at 8:08 PM
Kako misliš da su po novom duplikacije smetnja?
Nov 11 at 8:18 PM
moremore wrote:
Kako misliš da su po novom duplikacije smetnja?
U protekloj fiskalnoj eri bilo je upita od poreznika zašto je isti račun knjižen dva puta? Nisam bio na Apisovoj radionici, ali mi je preneseno da te duplikacije nisu automatski elimirane kako je to bilo zamišljeno na početku fiskalizacije..
Nov 11 at 8:30 PM
Nisu eliminirane ali ako je isti ZKI, mogu se ponavljati i 100 puta. Sjedio sam kraj inspektora i pokazivao mi je, npr. jedan račun u iznosu 100kn je poslan 3 puta, ima isti ZKI. Ali kada u njihovom sustavu zatraži izvještaj samo za taj račun, iznos je 100kn a ne 300kn, tako da sve štima...
Nov 12 at 7:18 AM
Edited Nov 12 at 7:23 AM
VKR71 wrote:
...moglo bi se reći "he-he..."
Nije taj he-he bio u svezi s prethodnim mpapecovim postom, na njemu je link, a na linku puno smišna stvar...

Ne treba nam MitM, MotS - Men on the Source su dovoljni:)