Obavijest o promjenama u certifikatima za fiskalizaciju - novi profil

Coordinator
Feb 24, 2015 at 8:40 AM
Prenosimo obavijest koju ste, vjerujem, mnogi od vas primili na mail:
"
Poštovani,
obzirom da ste u našoj bazi izdanih Demo certifikata evidentirani kao skrbnik Demo certifikata za fiskalizaciju, ovim vas putem obavještavamo o promjenama u certifikatima koje će se dogoditi u 2015. godini.
Naime, u 4. kvartalu 2015. godine Fina će započeti s izdavanjem certifikata prema novom, promijenjenom profilu. Ove je promjene Fina dužna provesti sukladno obvezama zakonske regulative o elektroničkom potpisu te pripadnim obvezujućim međunarodnim normizacijskim dokumentima.
Ove promjene mogu utjecati na sva informatička rješenja koja koriste Finine digitalne certifikate. Iako se očekuje da pri potpisivanju poruka s novim profilom certifikata ne bi trebalo biti nikakvih promjena u odnosu na potpisivanje starim profilom certifikata, preporuka je da se izvrši testiranje uporabe certifikata s novim profilom u postojećim rješenjima za fiskalizaciju (blagajnički programi) zbog čega vam se kao skrbniku Demo certifikata za fiskalizaciju ovim putem obraćamo.
Važno je napomenuti da obveznici fiskalizacije koji će od dana početka izdavanja certifikata s novim profilom imati važeće digitalne certifikate za fiskalizaciju izdane prema postojećem profilu, neće trebati zbog ovih promjena tražiti izdavanje novih certifikata, niti će trebati zahtijevati opoziv postojećih certifikata te će svoje važeće certifikate moći i dalje koristiti do njihova isteka. Iznimno, ako od dana početka izdavanja certifikata s novim profilom neka od informacija sadržana u certifikatu postane netočna te zbog toga bude potrebna izmjena podatka u certifikatu (promjena podataka u certifikatu, oporavak certifikata i sl.) postojeći certifikat će biti opozvan te će obvezniku biti izdan novi certifikat s novim profilom.
Obzirom da se aplikacijski certifikati za fiskalizaciju izdaju na period od 5 godina, blagajnička rješenja koja koriste Finine certifikate za fiskalizaciju trebaju 5 godina od početka izdavanja digitalnih certifikata prema novim profilima, istodobno prihvaćati certifikate sa starim i novim profilom.
Ako vi kao skrbnik certifikata ne predstavljate informatičku tvrtku koja nudi rješenja za fiskalizaciju već ste obveznik fiskalizacije koji koristi blagajničko rješenje, molimo vas da ovu obavijest dostavite dobavljaču čije rješenje koristite kako bi mogao izvršiti testiranje.
Za potrebe testiranja i prilagodbe postojećih rješenja, Fina je uspostavila novu Demo okolinu pod nazivom Fina Demo 2014 okolina. Nova Demo okolina izdaje certifikate koji su jednake strukture kao i certifikati koje će Fina početi izdavati u 4. kvartalu 2015. godine. Postojeća Demo okolina i dalje je u funkciji za testiranje rješenja prema postojećem profilu certifikata. Sukladno navedenom, trenutno su u funkciji dvije zasebne Demo okoline te se može zatražiti izdavanje Demo certifikata prema postojećim profilima produkcijskih certifikata i prema novim profilima koje će Fina početi izdavati u 4. kvartalu 2015. godine.
Nadalje, prema informaciji Porezne uprave, u testnoj okolini sustava fiskalizacije podržan je rad s novim profilom certifikata koji se izdaju u Novoj Demo okolini. Testna okolina sustava fiskalizacije podržava zaprimanje poruka potpisanih s certifikatima izdanim prema starom i novom profilu. Kada započne izdavanje produkcijskih certifikata prema novom profilu bit će omogućen rad sa starim i novim profilom i na produkcijskoj okolini sustava fiskalizacije. Obavijest o točnom datumu početka izdavanja produkcijskih certifikata prema novom profilu bit će objavljena na web stranicama Fine te Porezne uprave.
Kako bi testiranje vaših rješenja proveli na vrijeme, pozivamo vas da već sada zatražite izdavanje Demo certifikata za fiskalizaciju prema novom profilu.
Zahtjev za izdavanje Demo certifikata s novim profilom možete preuzeti na www.fina.hr/Fiskalizacija.
Dodatna pitanja oko izdavanja certifikata možete postaviti na e-mail adresu certifikati-fiskalizacija@fina.hr.
Sva pitanja oko tehničke podrške vezano za povezivanje na testnu okolinu CIS-a Porezne uprave možete uputiti na e-mail adresu: fiskalizacija.help@apis-it.hr .
"

Pratimo sve ovo već zadnjih par mjeseci i na vrijeme ćemo, prema potrebi, izdati nadogradnju.
Feb 24, 2015 at 2:23 PM
Ja sam izvadio novi demo2014 certifikat još prošle godine, danas sam probao i dobio JIR, a da u programu nisam ništa promijenio.
Jedino što sam promijenio je u postavkama aplikacije naziv datoteke s certifikatom.
Ako nisam ništa pogriješio onda ništa neće trebati mijenjati, inače koristim certifikat spremljen u datoteci.
Feb 24, 2015 at 4:53 PM
Izvadio si baš FINA Demo CA 2014? I sve radi bez ikakvih updatea? Ako je tako, to je zaista dobra vijest! :)
Feb 24, 2015 at 5:34 PM
Sigurno je jedino da sam tražio Demo2014 certifikat, a sad jesam li ga i dobio to je već drugo pitanje.;)
Ali mislim da je to demo certifikat iz 2014 okoline jer mi je Kukavica rekao da sam među prvima koji ga je zatražio i znam da sam imao problema kod skidanja i morao sam poslati Kukavici nekoliko mailova da proradi. U svim mailovima je pisalo demo2014, a ova datoteka demo2014 certifikata je i duplo veća od starog demo i veličine je 7k tako da je vjerojatno to demo 2014.
Znam da prošle godine nisam uspio dobiti JIR, pa su mi iz APISa rekli da još nije bila uspostavljena okolina, a mislim da sam morao u Windows Certifikat Store importirati Demo2014.cer. Ima ga skinuti na FINA.hr
Feb 25, 2015 at 12:44 AM
Edited Feb 25, 2015 at 12:58 AM
Koliko sam uspio preletiti u 5 min na fina web-u, neće se promjeniti ništa osim samog načina potpisa korisničkog certifikata, CA certifikata i uvođenja root certifikata. Za nas smrtnike, sve ostaje isto, samo će sustav koji je već provjereno siguran biti kako oni kažu " još sigurniji" pa se nadam da neće trebati ništa mjenjati, ako je samo drugačiji potpis jel...

Ja nemam vremena sada, ali budem detaljno proučio izmjene kroz koji dan.
Ako netko ima volje to učiniti prije mene, iskopao sam sada link izmjena u PDF-u koji se može preuzeti klikom ovdje.
Feb 27, 2015 at 10:40 AM
Dobio novi DEMO CA 2014. Testirao softver bez ikakvih izmjena, samo sa tim novim certifikatom. Radi bez problema!
Feb 27, 2015 at 12:26 PM
Bit će da imaš dobro napisan softwer :-)
Ako se ne varam razlika je u duljini ključa. ne znam napamet no mislim da je negdje definiran buffer, samo se ne sjećam je li na 2048 ili 4096
Feb 27, 2015 at 6:07 PM
Ala si ga opravio, svaka ti čast! :)
Mar 2, 2015 at 11:11 PM
@nrasinec,

koliko sam ja skuzio, ako nemamo novih korisnika, apsolutno nista se ne mijenja, sve dok nam starim korisnicima ne isteknu certifikati (znaci tamo negdje s kraja 2017. pa na dalje).. Za nove korisnike se vadi certifikat za novo okruzenje (od 4. kvartala, dakle od 1.10. 2015), ali se, glede Raverusa i podrzanih aplikacija ne treba mijenjati (uglavnom) nista?

Ostaje li url za pristup CIS-u isti (kod koristenja starog certifikata do isteka)?
Mar 24, 2015 at 10:07 PM
Ako je provjera certifikata ispravno implementirana, tada nije potrebno raditi nikakve izmjene na aplikacijama koje ga koriste.
Mar 25, 2015 at 10:34 AM
jonnieZG wrote:
Ako je provjera certifikata ispravno implementirana, tada nije potrebno raditi nikakve izmjene na aplikacijama koje ga koriste.
Mozes li ovo malo pojasniti ?
Mar 25, 2015 at 11:10 AM
PKIX cert chain se verificira na sljedeći način (pojednostavljeno):
  1. Verifikacija potpisa u odnosu na end_cert (najniži cert u lancu, kojim je potpisan dokument)
  2. current_cert = end_cert
  3. Verifikacija valjanosti current_cert-a (valjanost datuma, valjanost potpisa kojim je sam current_cert potpisan)
  4. Ako je current_cert u trusted CA-root storeu - validacija je uspješna. END
  5. cert = parent(current_cert)
  6. Ako cert nije moguće dohvatiti iz cert-chaina signaturea niti iz lokalnog cert storea, validacija je neuspješna. END
  7. Ako je cert=(current_cert), validacija je neuspješna. END
  8. current_cert = cert
  9. Goto 3
Stvari se dodatno kompliciraju s revokacijama certifikata itd., ali olakotna okolnost je da se od koraka 2 na dalje brinu frameworci, a jedino što se treba imati na umu je:
  • da se u CA-root store uvijek importira samo friški root certifikat
  • u CA-root store nikada ne importirati end certifikat ili neki od intermediate certifikata.
Ozbiljne firme za tu svrhu koriste intermediate certifikate potpisane od priznatih CA-ova koji se već nalaze u CA storeu. Međutim, ovdje govorimo o FINA-i kojoj je bilo preskupo ishoditi jedan takav takav intermediate certifikat, pa su odlučili sebe dekretom proglasiti za trusted CA, pa se od developera/administratora očekuje da ručno unese taj certifikat u CA-root store. Nepotrebno istaknuti da je takav pristup loš i nesiguran, ukratko lame.

Prije nego što se ide razvijati išta što se naslanja na certifikate, bilo bi dobro pročitati malo više o PKIX certifikatima, jer ima dosta začkuljica.