FISKALIZACIJA - BREAKING CHANGES - Obavezno pročitati! (SSL i TLS)

Coordinator
Nov 19, 2015 at 8:27 AM
Edited Nov 19, 2015 at 8:37 AM
Za početak, don't shoot the messenger - imam gadne vijesti.

Promjene koje spremaju Apis i PU: svi vi koji imate softver na XP, Vista i Windows Server 2008 (non R2), promjenama na SSL i TLS slojevima, aplikacije koje koriste fiskalizaciju će prestati fiskalizirati račune. Ovo je definitivno i sigurno.

Vezano uz temu gdje se spominje promjena na transportnom sloju SSL/TLS od strane PU, a na njihovim stranicama, uputili smo dopis Apisu, na kojeg smo dobili zabrinjavajući odgovor. Njihov Email prenosim u cjelosti:
Poštovani,

Trenutno su na sustavu Fiskalizacije, uz SSL v3, podržane sve verzije TLS protokola, što znači i TLS v1.1/1.2, ne samo spomenuta verzija 1.0. Kao što smo naveli, tijekom 2016. godine implementirat će se promjena kad će sustav podržavati samo TLS v1.1/1.2, prvenstveno iz sigurnosnih razloga. Kao što znate, Microsoft kao proizvođač softvera više ne podržava operacijske sustave Windows XP i Windows Vista te je većina pružatelja važnih elektroničkih usluga, primjerice banaka, odustala od podrške za klijente s navedenim operacijskim sustavima.

Tako je i National Institute of Standards and Technology u svom dokumentu iz travnja 2014. (Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations) objavio za državi važne servise preporuku:
„ TLS version 1.1 is required, at a minimum, in order to mitigate various attacks on version 1.0 of the TLS protocol. Support for TLS version 1.2 is strongly recommended. “

Svjesni velikog broja korisnika koji koriste predmetne protokole, odnosno OS-ove, pravovremeno smo zatražili od Porezne uprave najavu predmetne promjene. U prvom će se koraku promjena implementirati na testnoj okolini kako bi proizvođači softvera stigli prilagoditi klijentski softver i testirati rad svojih rješenja. Nažalost, stalni razvoj novih sigurnosnih prijetnji nužno dovodi do toga da se informacijski sustavi moraju prilagođavati kako bi osigurali primjerenu razinu sigurnosti svojih krajnjih korisnika, kao i centralnog sustava.

Dakle, kratki odgovor na vaše pitanje je da će u budućnosti na sustavu Fiskalizacije biti podržani samo protokoli TLS v1.1 i TLS v1.2.
Što ovo znači za nas, developere?
Za sada, CIS serveri podržavaju sve protokole, a kako navodi Apis, uključujući SSLv3, TLS1.0, TLS1.1 i TLS1.2.
Tijekom 2016. godine, podrška za SVE protokole, osim TLS1.1 i TLS1.2 će biti ukinuta.
.net Framework 2.0 (u kojem je trenutna verzija dll-a fiskalizacije) podržava najviše TLS1.0. Da bi se uključila podrška za TLS1.1 i TLS1.2, potrebno je cijeli DLL rebuildati u .net Framework 4.5.
Eh, sada, Windows XP, Windows Vista te Windows Server 2008 (NON R2) ne podržavaju Framework 4.5 i ne postoji ikakva šansa da će u budućnosti podržati.
Nadalje, kako navodi Microsoft na svojem MSDN blogu, vidi se da ovi OS-ovi, u globalu, niti ne podržavaju ništa iznad TLS1.0

Dobro je to što će, prije nego ukinu SSL i TLS1.0 na produkciji, to isto napraviti i na testnom okruženju pa ćemo barem imati vremena istestirati sve. Dakle, pripremite svoje korisnike, pripremite vaše aplikacije za Windows 7 i novije, a mi smo već počeli raditi na tome da nadogradimo DLL za rad na 4.5 i s podrškom za TLS1.1 i TLS1.2.

Nadam se da nisam nekome previše pokvario dan :)
Coordinator
Nov 19, 2015 at 8:38 AM
Kao što je kolega Davor precizno i detaljno sve opisao i pojasnio, da se kratko nadovežem - pratimo sve, znamo što treba napraviti, pripremamo nadogradnju; objavit ćemo je na vrijeme, srećom je naš dio posla puno manji od onog koji čeka sve vas, ako ste na Windowsima koji po novom neće biti podržani.
Nov 19, 2015 at 5:15 PM
Ja ne koristim Raverus, ali da li to znači da neće biti rješenja za XP ili se može nešto iskemijati? :)
Coordinator
Nov 19, 2015 at 5:50 PM
moremore wrote:
Ja ne koristim Raverus, ali da li to znači da neće biti rješenja za XP ili se može nešto iskemijati? :)
Nazalost, kako stvari stoje, XP ovdje definitivno ispada iz igre, zajedno s Vistom. Podrska za TLS1.1 i TLS1.2 vezana je za OS s kojeg se poziva servis. Na blogu, kojeg sam naveo u uvodnom postu, objasnjeno je i na sto je ta podrska vezana - radi se o SCHANNEL dll-u koji sadrzava sve funkcije za secure protokole. XP i Vista kroz ovaj dll podrzavaju samo verzije do TLS1.0

Takodjer, prije nekog vremena, iz istog razloga su banke (zaba) iskljucile podrsku za XP i Vista inacice.
Nov 20, 2015 at 6:57 AM
@nrasinec: što se tiće COM komponenti i one će isto biti obuhvaćene nadogradnjom?

@dkustec: istina da je Zaba to najavila i navodno provela, ali internet bankarstvo još uvjek radi na XP računalima. Mi smo pripremili stroj sa Win7 samo zbog toga ali nije bilo potrebe za prebacivanjem podataka.
Coordinator
Nov 20, 2015 at 7:13 AM
Sve što je dio ovog projekta će biti obuhvaćeno nadogradnjom.

Slika s gornjeg linka (MSDN blog) govori sve:
Image


Znači - XP ne podržava TLS1.1/TLS1.2 i to je to. U ovom trenutku to sve još radi, jer i na test CIS-u je još uvijek upaljen TLS1.0, no, kada ga ugase, to je kraj priče - fiskalizacija na XP-u staje.

Ovo za banke znam, ali ne mogu komentirati :)
Nov 23, 2015 at 10:43 AM
Edited Nov 23, 2015 at 10:49 AM
Obzirom da M$ "tajno" podržava XP do travnja 2019. zbog "miliona" POS aparata/terminala/bankomata i slične opreme koja je instalirana po cijelom svijetu, možda će se i ovaj problem riješiti na taj način. Tko ne zna, a želi ažurirati XP, neka čita OVO. Jednostavno, brzo i efikasno - proglasite mašinu POS mašinom i desi se "magija" - vaš nepodržani XP PRO/HOME odjednom postane podržan, iako zvanično "ništa oni ne garantiraju da će to raditi na običnim XP-ima, bla, bla, bla". Ja tako redovito ažuriram sve XP sustave (za korisnike neželjenog djeteta zvanog Vista, vjerojatno nema pomoći - premali broj korisnika).

M$ antivirusne definicije se isto tako mogu ažurirati. Ako se na čistu XP instalaciju želi instalirati M$ antivirus, mora se koristiti verzija "MSEInstall4.4.304 XP.exe", a ne novija (nađite je na webu).

Obzirom na moj post od prije par dana vezan za banke i rješenje tog problema, čini mi se da bi se i ovdje moglo raditi o nečemu sličnome. Na M$ sajtu koji se bavi rješenjem ovog problema (nemogućnost čitanja certifikata 256-bitnom i jačom enkripcijom) se spominju i SSL/TLS problemi (doduše vrlo šturo: The changes in the certificate validation are meant to enable the scenario of the SSL/TLS authentication.).

Međutim, obzirom na masu XP (i ostalih, tko zna kakvih) mašina instaliranim kod VELIKIH (napominjem VELIKIH, jebe im se za MALE) korisnika (Kon_um, Kau___and, Li_l, itd, znate već na što mislim), problem se neće tek tako prebaciti na krajnje korisnike, jer kad dreknu raznorazni "Todorići", to se čuje jako daleko. A itekako će "dreknut" ako ima neplaniranu obavezu da uloži milione i nepotrebno baci ispravnu i iskoristivu staru mašineriju.

Uostalom, jesenas, kad su mnogi "mali" knjigovodstveni uredi dobili "pismo odjeba za XP" od Fine, nakon 3-4 dana problem se "nekom magijom" riješio. Magija se zove: "milion" XP mašina u državnoj upravi i kod drugih velikih korisnika.

Tako da se nadam da će se i ovo riješiti na sličan način. U Nadi je spas (ako Nada išta valja).

p.s. koga interesira SSL/TLS tematika, ima dobar tekst OVDJE
Nov 23, 2015 at 2:42 PM
Sve ovdje napisano je točno i ako ne vidim da je Apisova izjava ok. Kako su slovenci ušli u fiskalizaciju prema našem modelu, možemo jednostavno usporediti ta dva modela.. naša nova tehnička dokumentacija još nije izašla i možemo samo čekati.
  • SLO ne podržava SSL, samo TLS 1.0-1.1-1.2, stim da se TLS 1.0-1.1 suportira do 30.06.2018, kasnije podržava samo TLS 1.2
  • SLO su se odlučili na 2-way, dok smo mi 1-way
  • Osim TLS-a imamo i potpisivanje gdje SLO idu sa RSAPKCS1SHA256SignatureDescription, što je na ljstvici takođe iznad našeg potpisivanja.
  • SLO takođe razlikuju tri različita Soap Header-a
  • Neovisno o Security temi, SLO su riješili.. nema slanja računa bez prijave PP, niti ima slanja računa nakon zatvaranja PP. Nekako se ovo meni čini ok..
Ako podvučemo crtu, kod njih kao standardno riješenje XP sa NET 4.0 živi do 30.06.2018, što je takođe u skladu sa MS-om, koji ima obvezu suportirati Embedded verzije XP-a do 2019 godine. Kako svaki XP može biti Embedded, nekako je to optimalno ok.
Ako se uzme u obzir da je kod nas zbog 2013 i u toku 2013 kupljeno veliki broj XP računala kao i kompaktnih novih terminala sa XP Embedded, a sada 2015 godine to više nije dobro, ipak je malo previše.
Coordinator
Nov 24, 2015 at 8:04 AM
Slažem se s većinom napisanog u ova zadnja dva posta (btw, super usporedba SLO<->HR :) ).

No - ovo je Hrvatska, moguć je i jedan i drugi scenarij: i da otkažu sve bez obrazloženja i da samo "čeprtnajstognekog" tijekom 2016. isključe SSL/TLSv1. U ovom drugom scenariju, ako do njega dođe, svi koji se unaprijed ne pripreme imaju 2 dana da to riješe, jer će im fiskalizacija stati iste sekunde. U tom će scenariju Porezna reći "obavijestili smo vas prije x mjeseci, jeb...te se".

Dakle - mislim da je u ovom trenutku neozbiljno bilo kakvo razmišljanje "možda odgode", "ne mogu to napraviti " i sl. Treba se pripremiti, pa što bude. Priprema ne znači da klijente odmah treba natjerati da kupe nove kompove, ali treba uključiti u priču i takav scenarij, pa ako do njega dođe da i svi mi kao IT firme, ali i naše klijenti, budemo što je moguće spremniji za to.

Mi smo u naše interne planove ubaciti potrebne migracije i DLL/COM/EXE unutar ocog projekta će biti spremni. Imamo i neke ideje za XP/Vista korisnike, rano je još o tome govoriti, no možda bude i tu nekih iznenađenja.

I, na kraju, ne zaboravite da se fiskalizacija koristi i na NE-Windows platformama: Linux, JAVA, Android, ... valjda će se i te kolege uključiti u ovu raspravu, jer je i to potenijcalno moguće očekivati probleme.
Dec 7, 2015 at 12:34 PM
Edited Dec 7, 2015 at 12:35 PM
Jedna od mogucnosti za winXP je SSL proxy.

raverus http zahtjev => lokalni proxy => https zahtjev na CIS


https://www.stunnel.org/support.html
Jan 12 at 9:01 AM
Da li se pobliže zna na koji se period odnosi 'tijekom 2016.godine'?
Ako će trebati mijenjati računala da mogu požuriti klijente u nabavci, svi su upozerni, ali ...

Nisam mjerodavna za Linux, ali rečeno mi je da Linux ne bi trebao imati problema s promjenom.
Coordinator
Feb 1 at 12:46 PM
Poziv iz HGK:

"
Poštovane dame i gospodo,

prema objavi na webu Porezne uprave (link) od 27. listopada 2015. godine, pri komunikaciji fiskalnih blagajni sa serverima APIS-IT-a napušta se protokol SSL v 3 i tijekom 2016. će se u potpunosti prijeći na sigurnosni protokol TLS, što će predstavljati trošak prilikom prerade softverskih rješenja za fiskalizaciju, a poseban problem i trošak se pojavljuje na blagajnama koje se moraju nadograditi zato što njihov postojeći hardver ne podržava protokol TLS.

Molim vas da mi do petka, 5. veljače, (odgovorom na ovu poruku) javite koliki bi procjenjeni trošak nadogradnja hardvera ili promjena softvera predstavljala za vašu tvrtku te možete li taj trošak, ovisno o ugovorima s klijentima, naplatiti od korisnika, da bismo temeljem toga poduzeli zajedničku akciju, u suradnji s ostalim Sektorima Hrvatske gospodarske komore, prema Poreznoj upravi Ministarstva financija.

Unaprijed hvala.

Pozdrav,

Igor Škevin

"
Feb 1 at 1:22 PM
Što, refundirat će nam trošak?!? LOL nad LOLovima!!!
Je li to stvarno na webu HGK, ja nisam uspio pronaći?
Feb 2 at 1:18 PM
nrasinec wrote:
Mi smo u naše interne planove ubaciti potrebne migracije i DLL/COM/EXE unutar ocog projekta će biti spremni. Imamo i neke ideje za XP/Vista korisnike, rano je još o tome govoriti, no možda bude i tu nekih iznenađenja. <
Više nije rano za govoriti o tome.
Ima li kakvih ideja za XP korisnike da prodiskutiramo o tome?
Feb 2 at 10:05 PM
Ako je u pitanju samo podrška za TLS, pogledaj gore Viggorov post, isto rješenje predlažu i neki od proizvođača modula za slovensku fiskalizaciju. Osobno nisam uvjeren u nedvojbenost legalnosti tog rješenja, ali i ti sam pozivaš na diskusiju, pa...
Feb 3 at 12:06 AM
Edited Feb 3 at 12:14 AM
Registry hack XP-a neće omogućiti instalaciju .NET 4.5 framework-a neophodnog za rad budućih DLL/COM ovog projekta jer ga ne podržava ni Windows Embedded POSReady 2009. Volio bih da nije tako, pa ako griješim, ispravite me.
Feb 3 at 10:44 AM
Kako ja vidim, izgleda da ga ipak sa XP-om pušimo ako Raverus projekt mora preći na framework 4.5, jer za to podrške pod XP-om nema (ali koliko vidim ima za Vistu). Međutim, iako nemam pojma o tome kako funkcioniraju ti svi protokoli, frejmvorkovi i slične stvari (jer sam glede programiranja DOS dinosaurus), pitam se kako će se sve to odraditi na drugim OS-ovima koji uopće ne koriste M$ framework? Ako može tamo, zašto ne može i kod nas? Da li je NET.Framework 4.5 neophodan ili je možda sve to moguće napraviti i bez njega, ali se ne isplati zbog previše posla?

Da se nitko ne nervira zbog ovakvih upita, samo neuko razmišljam naglas.
Feb 3 at 12:45 PM
Edited Feb 3 at 12:48 PM
mpapec wrote:
Jedna od mogucnosti za winXP je SSL proxy.
raverus http zahtjev => lokalni proxy => https zahtjev na CIS
https://www.stunnel.org/support.html
Može li netko reći nešto više o ovoj ideji? Kako izgleda neće biti načina instalirati .NET 4.5 framework na XP, znači time otpada Raverus DLL/COM komponenta možda bi ovo bilo moguće rješenje.
Nisam uspio skužiti da li proxy server može biti instaliran lokalno na istom XP računalu. Ako se registry hack-om ili na neki drugi način omogući podrška za TLS 1.2 to bi bilo odlično rješenje.
Ako proxy server ne može biti na istom računalu, opet dobro. Jedino je potrebno osigurati sigurnu vezu između klijenta i servera. Ima li netko tko bi znao složiti konfiguraciju stunnel-a da stvar funkcionira?

Ako se stvar ne može složiti na ovaj način imam jednu drugu ideju:

Kako nisam upoznat s načinom funkcioniranja sigurnosnih protokola možda ovo što pričam nema smisla ali vrijedi pokušati. Recimo da koristimo DLL ili COM komponentu. Funkcijama PosaljiSoapPoruku, PosaljiSoapPorukuCertifikatDatoteka i PotpisiXmlDokument potrebno je kao argument proslijediti certifikat, no funkcijama DodajSoapEnvelope i PosaljiPotpisanuSoapXmlPoruku ne. Znači li to da ove dvije više ne trebaju certifikat da odrade posao? Ako je tako onda je logično da se može složiti slijedeće:

klijent kreira XML
klijent potpiše XML
klijent šalje potpisani XML na server
server prima potpisani XML
server dodaje SOAP envelope
server šalje potpisanu soap poruku na CIS
server prima odgovor
server šalje odgovor klijentu

"server" je u tom slučaju moja aplikacija koja koristi DLL ili COM na Windows7 ili novijem.
Coordinator
Feb 4 at 11:24 AM
PBDudek wrote:
Što, refundirat će nam trošak?!? LOL nad LOLovima!!!
Je li to stvarno na webu HGK, ja nisam uspio pronaći?
Nije na webu, poslali su na mail (odabranim) tvrtkama :)
Coordinator
Feb 4 at 11:26 AM
Što se tiče Win XP podrške, pričekajmo svi zajedno da vidimo hoće li išta biti od ovih najava o uvođenju TLS-a tijekom 2016. godine. Sudeći i po ovoj HGK inicijativi, mislim da je najbolje pričekati na neku daljnju vijest od strane Porezne uprave (APIS-a) i vidjeti što će dalje biti; samo se svi možemo nadati da neće biti situacija tipa "od sutra više ne radi fiskalizacija na XP, uveli smo TLS".
Feb 4 at 12:44 PM
nrasinec wrote:
Nije na webu, poslali su na mail (odabranim) tvrtkama :)
Sad se osjećam kao one cure što ih nitko nikad ne poziva na ples :'-(=
Feb 5 at 10:59 AM
nrasinec rekli ste ne tako davno da se trebamo pripremiti, a ne čekati odgode. Mislim da to ispravan stav. Sad kažete da je bolje čekati. Mislite da će inicijativa HGK nešto promijeniti?

Može li se korištenjem Raverus.FiskalizacijaDEV.dll-a slati potpisan xml na CIS s drugog računala koje nema instaliran certifikat?
Molim odgovor bilo koga upućenog u način funkcioniranja protokola i Raverus.FiskalizacijaDEV.dll-a.

U međuvremenu ću, ako ne dobijem negativan odgovor, pokušati složiti ovaj setup u testnoj okolini i isprobati.

Hvala!
Coordinator
Feb 5 at 11:10 AM
I dalje ostajem kod stava da se treba pripremiti; no - to ima smisla samo kod rješenja baziranih na Windows OS-u koji podržavaju TLS, gdje je to relativno lagano izvedivo. Što se tiče (prevladavajućih ?) Windows XP rješenja, to baš nije trivijalno i tu je, po meni, bolje pričekati da se vidi što će Porezna odlučiti.

Naravno - totalni će zajeb biti ako u jednom danu odluče to sve staviti u produkciju, jer će tada sve stati kod korisnika koji imaju XP; alternativa je da krajnji korisnici već danas krenu mijenjati Windows OS, što vrlo često nije baš jednostavno (niti jeftino) za izvesti.

Što se tiče Raverus.FiskalizacijaDEV.dll (EXE, COM) - isti će podržavati TLS, ali samo na Windowsima koji ga podržavaju.

Jedini ispravan put bi bio da Porezna objavi nešto poput "dana tog i tog prestajemo s podrškom za SSL na test okruženju" (kako bi se kvalitetno sve moglo isprobati SAMO sa TLS protokolom) i "dana tog i tog prestajemo s podrškom za SSL na produkcijskom odkuženju". Kolike su šanse za to - ne znam; no, nisam baš neki optimist, vjerujem da će samo iskopčati SSL i da će deseci tisuća (ili koliko već, fakat ne znam) korisnika na XP rješenjima prestati s fiskalizacijom i da će se naći u ozbiljnim problemima. Bez konkretnih datuma iz Porezne je sve ovo neozbiljno, jer će malo koji krajnji korisnik pristati zamijeniti svoje XP rješenje, s kojim radi godinama, samo da bi mu u budućnosti sve radilo kako treba.


Što vi ostali kažete na ovo moje razmišljanje?
Feb 5 at 11:23 AM
nrasinec wrote:
Naravno - totalni će zajeb biti ako u jednom danu odluče to sve staviti u produkciju, jer će tada sve stati kod korisnika koji imaju XP; alternativa je da krajnji korisnici već danas krenu mijenjati Windows OS, što vrlo često nije baš jednostavno (niti jeftino) za izvesti.
Sa svime se u cijelosti slažem, osim u ovom dijelu, jer netko tko vodi ikakav biznis, pa bio to i najneprometniji bircuz u nekoj vukojebini, a nema tisuću-dvije kuna za uložiti u najosnovnije osnovno sredstvo i to od vremena prelaska sa XP/Viste na Sedmicu (koliko je to - šest godina?), bolje da biznis zatvori. Svako zlo za neko dobro, jer možemo to gledati i iz kuta da ćemo se napokon, pa makar zbog ovog, riješiti održavanja krame koja je odavno trebala i hardverski završiti na otpadu.
Feb 5 at 12:04 PM
Istina je da je potrebno imati plan i ulagati u opremu. Tako je puno korisnika je nedavno kupilo rabljena brand name računala s MAR licencama. Tim korisnicima će biti teško objasniti da im računalo više "ne vrijedi" iako je i dalje hardverski potpuno sposobno.
Feb 5 at 12:19 PM
OK, i s tim se dijelom slažem, prvenstveno sam mislio na baje koji voze Hummere a biznis vrte na XP-u s nekim jadnim Duronom i 256 RAM-a.
Ali, ipak, koliko je to 'financijsko ulaganje' u takve mašine koje spominješ? Par stotina kuna?
Ako će im zbog tog zbilja patiti firma, takvima bi Porezna trebala (su)financirati nabavu novih računala ili nadogradnju operativnog sustava, ali samo nakon detaljnog poreznog nadzora... ;-D
Feb 5 at 2:46 PM
Evo kako ja vidim jedan od načina kako izbjeći XP ograničenje.
  1. (C#) S klasom NameValueCollection kreiraš niz hash parova String/String u kojima će biti svi elementi računa (datum, iznos, zki, ....)
  2. (C#) S metodom UploadValues klase WebClient pošalješ ih POST metodom PHP skripti na web serveru
  3. (PHP) PHP skripta pročita proslijeđene argumente i na osnovu njih kreira XML zahtjev prema poreznoj te s TLS protokolom dobije JIR koji u skripti jednostavno ispišeš kao response najobičnijom printf ili echo naredbom
  4. (C#) Ovaj response je povratna vrijednost metode iz 2 i imaš JIR u C# aplikaciji.
Obje klase iz koraka 1. i 2. su još iz .Net 1.1

Ostaje pitanje certifikata.
Jedna mogućnost je da je certifikat na web serveru pa da ga PHP pročita, i da POST metodom iz koraka 2 pošalješ kriptiranu lozinku.
Druga mogućnost je da i sadržaj certifikata putuje POST metodom kod svakog zahtjeva.

Ja sam probao s testnim certifikatom i ova kombinacija radi u oba slučaja i kad je cerifikat na web serveru i kada "putuje" POST metodom. PHP skriptu sam složio po primjeru s ovog foruma i pretpostavljam da po defaultu podržava TLS tako da tu ne bi trebalo biti problema.
Feb 5 at 4:49 PM
Georgia, a kako ćeš izdati ZKI kada nema interneta?
Feb 5 at 4:57 PM
moremore wrote:
Georgia, a kako ćeš izdati ZKI kada nema interneta?
Pa zki generira c# na xp-u.
Zki saljes php-u da bi php mogao kreirati xml zahtjev u kojem mora biti zki.
Ovo jesu akrobacije, ali radi i jir dobijes jednako brzo.
Feb 5 at 5:07 PM
Površno sam pročitaj tvoj post. Da, moglo bi se i tako složiti, ali mislim da su to već akrobacije :)
Feb 5 at 5:14 PM
moremore wrote:
Površno sam pročitaj tvoj post. Da, moglo bi se i tako složiti, ali mislim da su to već akrobacije :)
Nisam ja to doveo u produkcijsku razinu nego samo s malim testnim projektom sam ga natjerao da dobije jir.
Ima tu sigurno potencijalnih sigurnosnih rupa, ali principijelno bi trebalo raditi.
Feb 5 at 5:38 PM
nrasinec wrote:
Što vi ostali kažete na ovo moje razmišljanje?
Ja se nadam da će nova vlast totalno razjebat Apis i vratit sve na staro, tj. peri-deri-briši-mijenjaj-kenjaj.
Ups, zezno sam se, ja nisam ugostitelj i fiskalizacija direktno ne pogađa moje poslovanje, ali stvarno bi bilo u redu upravo ovo što nrasinec govori, da na vrijeme precizno definiraju datume. Obzirom da se promjene ove vrste nikako ne bi trebale raditi usred ljetne sezone, a sada je već možda malo kasno, onda bi pošteno bilo zakazati taj termin najranije na jesen 2016. Iako, mislim da ovo što su Slovenci napravili je najpošteniji odnos prema svim korisnicima. Dok M$ podržava XP na POS mašinama, trebala bi ga podržavati i naša fiskalizacija. Zašto smo uvijek veći katolici od Pape?

Na stranu sad to, ali nije mi jasno čemu tolika opsesija nekom extra sigurnošću oko fiskalizacije??? Nije to isto kao kod bankovnog prometa gdje zaista lova ide tamo-amo i može završiti na neželjenom računu. Ovdje idu samo podaci prema poreznoj i netko bi morao biti ludo napaljen da vam napravi štetu, ali samom sebi ne bi stvorio nikakvu direktnu korist. Uostalom, obzirom koliko su sami korisnici fiskalizacije osviješteni oko čuvanja certifikata, ispada da je sve ovo samo jedan veliki hype.

Mnogo je lakše doći do nečijeg certifikata socijalnom inteligencijom, nego hakiranjem napraviti nešto - ne znam što? Slati račune pod tuđim OIB-om? Može, ali ostavljate tragove. Znate sakriti i te tragove (iako je to nemoguće 100%)? Super, ali onda ste idiot koji radi u pogrešnoj branši. Čemu sve to?
Feb 5 at 6:54 PM
viggor wrote:
Na stranu sad to, ali nije mi jasno čemu tolika opsesija nekom extra sigurnošću oko fiskalizacije??? Nije to isto kao kod bankovnog prometa gdje zaista lova ide tamo-amo i može završiti na neželjenom računu. Ovdje idu samo podaci prema poreznoj i netko bi morao biti ludo napaljen da vam napravi štetu, ali samom sebi ne bi stvorio nikakvu direktnu korist. Uostalom, obzirom koliko su sami korisnici fiskalizacije osviješteni oko čuvanja certifikata, ispada da je sve ovo samo jedan veliki hype.

Mnogo je lakše doći do nečijeg certifikata socijalnom inteligencijom, nego hakiranjem napraviti nešto - ne znam što? Slati račune pod tuđim OIB-om? Može, ali ostavljate tragove. Znate sakriti i te tragove (iako je to nemoguće 100%)? Super, ali onda ste idiot koji radi u pogrešnoj branši. Čemu sve to?
Kad sam spomenuo sigurnosne rupe za onaj moj primjer nisam mislio na neke otimače jirova i slično nego da možda postoji neka rupa u ideji zbog koje bi se možda dogodilo da C# i PHP ne iskomuniciraju dobro, da ne dobiješ pravu poruku o grešci i slično.
Feb 6 at 7:49 AM
Kako je netko spomenuo, ja ne vidim problem da se moraju XP zamijeniti sa W7+. Ako netko ne može izdvojiti tu lovu onda bi stvarno trebao zatvoriti vrata. A drugi je par postola šta je ljudima puno dati 1000kn za komad softvera ali nije puno dati 5000kn za servis auta, jer mehaničar ipak nešto radi.
Feb 6 at 7:59 AM
Edited Feb 6 at 8:02 AM
@viggor - Svaka čast, to je prava tema za raspravu.
Da je projekt fiskalizacije barem u naznakama išao u smjeru da su podaci o fiskaliziranim računima na razini odgovornosti predane porezne prijave, pa da ju, recimo, i zamijene (CIS ti mjesečno pošalje račun za porez, umjesto da se knjigovođe nadmudruju sa gazdama što treba a što ne treba ovaj mjesec prijaviti), onda bih razumio ovu paranoju o sigurnosti.
To me je podsjetilo na onu paniku kada je CIS jedan dan slao odgovore kojima potpis nije prolazio verifikaciju na strani pošiljatelja zahtjeva, pa je stala fiskalizacija svima koji su tu provjeru ugradili, sjećate li se? I onda sam se pitao, čemu ta provjera, tko bi mi, osim CIS-a, uopće slao JIR i zašto?
Isto tako, ako baš moraju nešto mijenjati, a postoji inicijativa da se nešto pita i developere i njihove korisnike, sasvim nam je dovoljno problema i da se riješe samo SSL-a i dovedu sustav na razinu sigurnosti s kojom su Slovenci prije mjesec dana započeli svoju fiskalizaciju. I mislim da bi se na tome moglo inzistirati.
Feb 6 at 8:13 AM
PBDudek wrote:
I mislim da bi se na tome moglo inzistirati.

Kao da su nas ikad za nešto poslušali. Napraviti će kako je njima najlakše a mi ćemo se morati snalaziti...
Feb 6 at 10:10 AM
Mislim da sam se dovoljno petljao gdje mi nije mjesto, jer kako bude da bude, sve je na Ninu&Co. koji razvijaju ovaj projekt.

Da ja bolje probam rezimirati što mene i vas ostale poput mene čeka kad oni odrade što treba odraditi i kada se na downloadu pojavi nova verzija Raverus-a:
  1. Na svim računalima koja izdaju gotovinske račune kod svih korisnika zamijeniti staru verziju Raverus-a novom (kod mene .EXE, kod drugih .dll ...)
  2. Na svima njima na kojima nije barem Win8 instalirati podršku za .NET Framework 4.5
  3. Ako se nešto izinžinja za XP-ove, vjerojatno na njima napraviti registry hack da ih proglasim POS mašinama i podrška za .NET (u tom slučaju valjda 4.0 ?)
  4. Ako XP-ovi odu u povijest, na svim zamjenskim/reinstaliranim radnim stanicama instalirati svoj program i sve što uz njega ide, prebacujući na njih sve postavke 'upokojenih'
  5. Nadati se da u programu neću morati ništa mijenjati, jer će se Nino pobrinuti da nova verzija Raverus-a prema vani funkcionira 1:1 kompatibilno sa starom - iste strukture podataka, isti nazivi i načini pozivanja funkcija, isti naziv .exe datoteke :-)
Ima li tko kakvu dopunu?
Feb 6 at 10:55 AM
U svakom slučaju radi se o paranoji jer danas je najsigurnije ne koristiti računalo a i onda postajemo sumljivi..
Mi trenutno imamo situaciju da tehnička dokumentacija nije izašla a tu se radi osim TLS-u i o potpisivanju, 2 way konekcije, soap headeri ..
Trenutno imamo informaciju da se ide na TLS 1.1/1.2, za što se čini da je XP kao neko standarno riješenje u problemu.

Osobno mi se čini da bi TLS 1.0 mogao biti jednostavno riješenje jer sa njim XP radi dobro, a i kompatibilan je sa svim novijim MS OS-ima.
TLS 1.0 još nije toliko na meti a sigurnost mu je puno bolja od SSL-a. Tko nam garantira da kada mi sve napravimo da za mjesec dana TLS 1.2 bude meta kao što je danas SSL.

Ako planiramo nešto raditi izgledno je da bi target Framework trebao biti 4.0, pa sam napravio nekoliko pokusa. Uz malu izmjenu dobio sam da TLS 1.2 / NET 4.0, radi sa apisovom testnim linkom. Ovo radi na WIN10, WIN7 ali ne na XP-u.. javlja da taj protokol nije podržan. Probao sam instalirati NET 4.5 ali tu MS kaže "neće ići"..

Ne bi znao o čemu se radi, ali MS je obvezan održavati XP, htio ili ne htio do 04.2019, tu obvezu ima prema Embedded XP-u.. koji je za naše potrebe dovoljan ??
Feb 7 at 9:27 PM
Edited Feb 7 at 9:30 PM
VKR71 wrote:
Trenutno imamo informaciju da se ide na TLS 1.1/1.2, za što se čini da je XP kao neko standarno riješenje u problemu.
što mislite o ovoj ideji (treba ju razraditi): zakupi se virtualni server (2008 ili 2012, ne košta to mnogo na god. nivou), instaliraju svi certifikati na njega da potpisuje i šalje račune te da prima od CIS-a i vraća nam natrag JIR-ove.

Certifikati trebaju biti instalirani i kod klijenata, radi izračuna ZKI-a, ali ne komuniciraju direktno sa CIS-om, već sa tim svojim serverom (on komunicira s CIS-om). I onda baš nas briga koji protokoli se koriste (mi možemo slati račune na taj server kako god želimo).

Kad dođe do promjena, ne mijenjamo ništa u svom softveru, već samo ono što je na tom serveru (dakle samo na 1 mjestu). Čak i ako dođu nove izmjene (sa najnovijim i najsigurnijim DŽBRMFGR v.198732.13 protokolom), ako nam nešto ne štima, zakupimo novi server.

Naravno, ima tu posla i pitanje je kome se sve to isplati (ima li dovoljno klijenata) te da li je sav taj posao isplativiji i efikasniji (dovoljno brzo (???) obzirom da sve ide duplo dužim putem) od prilagođavanja novim protokolima i zamjenama mašina i Windowsa, ali eto, samo kao ideja...
Feb 8 at 11:26 AM
Upravo na taj način sam ja razmišljao prije nego sam poslao post u srijedu. Onda mi je palo na pamet pitanje sigurnosti korisničkih certifikata i je li uopće legalno koristiti certifikat na računalu koje nema veze s korisnikom? Zato sam i pitao može li se slati potpisani XML sa računala koje nema certifikat kojim je potpisan. Ako je to točno, onda nema nikakve prepreke za ovu kombinaciju.

Siguran sam da netko zna odgovor pa ovim putem ponovo molim odgovor na pitanje u vezi slanja potpisanog xml-a bez dostupnog cetifikata.
Feb 8 at 11:57 AM
Neznam zašto bi bilo ilegalno koristiti certifikat na udaljenom računalu ako je vlasnik dopustio korištenje istoga.

Kako rade online blagajne, da li se certifikat uvozi ili ? Pretpostavljam da cert bude online. A za webshop isto tako, svakako je cert online na serveru na koje je još 100 korisnika i ko zna koliko certova.

A centralizirana fiskalizacija je riješiva sigurno, sad koliko je isplativo je pitanje. Nekom se to mora naplatiti a onda je isplativije komp uzeti (možda).
Feb 16 at 1:05 PM
Evo da se malo priključim. Pošto imamo hrpu klijenata na XP-u, a fiskalizacija nam je izvedena na razini SQL servera za koji se mogu pisati CLR rutine samo u DOT.NET-u 2.0, kao rješenje nam se nametnuo svojevrsni gateway koji će TLS-om slati poptisane zahtjeve na CIS te vraćati povratnu informaciju na clientima. Sa strane clienta se ne mijenja apsolutno ništa osim url-a na koji se šalje zahtjev. U biti stvar je jednostavna, samo treba imati nekakav IIS server na minimalno WIN2008 R2, 7-mici ili noviji sa NET4.5 frameworkom...

Rješenje je skucano nabrzake, nisam ni istestirao do kraja ali za sada se čini da radi. Isprobano je sa demo i CIS okolinom i uredno vraća JIR i moguće greške.

Pa evo ako nekoga zanima, download source-a i binary-a je tu: www.ingtel.hr/CLRGateway.zip

A imam složen i test na našem VPS-u pa možete isprobati. Url-ovi su

Za testnu okolinu: http://fiscaltest.ingtel.hr/test
Za CIS: http://fiscaltest.ingtel.hr/cis

Sve je složeno za IIS i Windoze, ali mislim da bi se bez problema dalo riješiti i na PHP-u.

Toliko od mene.
Mar 2 at 6:03 PM
Ja sam isto razmišljao o ideji sa serverom i slanjem podataka, ali na PHP-u...samo treba imati vremena za zezanciju s time uz sve druge obaveze.

Mislim da nema problema sa spremanjem certifikata na serveru..naravno, ako je korisnik upoznat s time. Sve online blagajne za koje znam rade tako :)
Mar 7 at 9:15 AM
dkustec wrote:
Dobro je to što će, prije nego ukinu SSL i TLS1.0 na produkciji, to isto napraviti i na testnom okruženju pa ćemo barem imati vremena istestirati sve.
Da li je ovo sigurno?
Može li netko sa sigurnošću potvrditi hoće li Apis ukinuti SSL i TLS1.0 na testnom serveru prije nego se isto ukine na produkcijskom i ako da koliko prije tj. hoće li i koliko vremena biti za testiranje?
Coordinator
Mar 7 at 9:17 AM
Na žalost - nije sigurno; moguće je i da će samo ukinuti sve na produkciji i reći "... pa najavili smo da ćemo to napraviti tijekom 2016. godine ..." :(
Mar 7 at 10:42 AM
nrasinec wrote:
Na žalost - nije sigurno; moguće je i da će samo ukinuti sve na produkciji i reći "... pa najavili smo da ćemo to napraviti tijekom 2016. godine ..." :(
Realno, i ne bi im se moglo puno prigovoriti ako to tako urade. Činjenica je da se testiranje na nove TLS-ove može već mjesecima provoditi jer porezna podržava TLS 1.1 i 1.2 i u testu i u produkciji.

Jedino što se ne može testirati je da u svome programu navedeš explicitno da se koristi TLS 1.1 ili 1.2 i kad dobiješ JIR nisi siguran je li on došao jer su tvoj program i server od porezne možda iskomunicirali po starom protokolu.
Mar 7 at 11:49 AM
U tome i je problem.
Ne može se testirati u uvjetima kakvi će biti nakon gašenja SSL/TLS1.0
Mar 8 at 8:29 AM
Ja sam za provjeru ostvarene komunikacije koristio Fiddler Web Debugger, koji je pokazivao prema kodu ostvareni protokol.

Tako na primjer za NET 4.0:
  ServicePointManager.Expect100Continue = true;
  //ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls;   // TLS 1.0
  ServicePointManager.SecurityProtocol = (SecurityProtocolType)3072    // TLS 1.2
Naravno ovo radi na WIN7 i WIN10 a na XP-u ne radi.. na oko se čini da je to dovoljna garancija, za provjeru komunikacije. Sada koliko ima smisla podići na TLS 1.2 a zadržati isto potpisivanje?
Mar 31 at 7:39 AM
Što je ovo, sezona kiselih krastavaca?
Mar 31 at 12:04 PM
Zatišje pred buru !!! :)
Apr 5 at 5:05 PM
Edited Apr 5 at 5:16 PM
GoranV13 wrote:
Zatišje pred buru !!! :)
Prije mislim da su apisovci (a zna se iz kog su oni gnijezda) raspizdili ejčdizedovce i bridgemane pokušavajući im objasniti prednosti TLS-a nad SSL-om, pa su ih ovi tužili Blackstampu, a ovaj je naredio izradu strategije za bezbolni prijelaz na sustav izdavanja računa na škartocima i predaju PDV prijava enkriptiranih klinastim pismom na glinenim pločicama, što je u duhu hrvatske tradicije i kulturnog naslijeđa ;-)
Apr 6 at 3:11 PM
Možda ima neke veze sa serverom fiskalizacije, a možda i ne, ali dobio sam obavijest da Carinski G2B servis (također APIS) od 01.06. 2016 više neće prihvaćati ništa osim TLS1.2
Apr 7 at 6:53 AM
Georgia47 wrote:
nrasinec wrote:
Na žalost - nije sigurno; moguće je i da će samo ukinuti sve na produkciji i reći "... pa najavili smo da ćemo to napraviti tijekom 2016. godine ..." :(
Realno, i ne bi im se moglo puno prigovoriti ako to tako urade. Činjenica je da se testiranje na nove TLS-ove može već mjesecima provoditi jer porezna podržava TLS 1.1 i 1.2 i u testu i u produkciji.

Jedino što se ne može testirati je da u svome programu navedeš explicitno da se koristi TLS 1.1 ili 1.2 i kad dobiješ JIR nisi siguran je li on došao jer su tvoj program i server od porezne možda iskomunicirali po starom protokolu.
Zadnja rečenica u obavijesti o napuštanju SSLv3 protokola na stranicama porezne je bila: "U tijeku 2016. godine očekujemo potpuno onemogućavanje komunikacije putem SSL v3 protokola, a o čemu će javnost biti pravodobno obaviještena putem web stranice Porezne uprave, odnosno izdavanjem nove verzije Tehničke specifikacije za korisnike." Po ovome mislim da nema brige dok god nije izdana nova specifikacija, a još uvijek nije. A također ne vjerujem da će izdati novu specifikaciju i ugasit stari protokol isti dan...
Apr 29 at 11:33 AM
mikula_os wrote:
Upravo na taj način sam ja razmišljao prije nego sam poslao post u srijedu. Onda mi je palo na pamet pitanje sigurnosti korisničkih certifikata i je li uopće legalno koristiti certifikat na računalu koje nema veze s korisnikom? Zato sam i pitao može li se slati potpisani XML sa računala koje nema certifikat kojim je potpisan. Ako je to točno, onda nema nikakve prepreke za ovu kombinaciju.

Siguran sam da netko zna odgovor pa ovim putem ponovo molim odgovor na pitanje u vezi slanja potpisanog xml-a bez dostupnog cetifikata.
Ja sam radio fiskalizaciju i putem CLR-a i na androidu i u .NET-u i .NET CF-u (Windows mobile i windows CE).
Kako na .NET CF-u nisam mogao potpisati XML napravio sam web servis za potpisivanje i slanje certifikata čak bi korisnik sam napravio upload certifikata na server.

Ono što je u svemu ovome bitno je da problem ukidanja SSL-a ne pogađa potpisivanje xml-a sa korisničkim certifikatom.
I dalje će se moći XML potpisati na windowsima XP samo se neće sa Windowsa XP uspostaviti enkriptirana komunikacija sa serverom.
Potpisani XML se može proslijediti nekom web servisu koji bi služio kao proxy između klijenta i servera porezne uprave.
Za komunikaciju sa web servisom ne treba korisnički certifikat nego samo root certifikat (RDCCa.cer)
Sep 15 at 11:56 AM
Pozdrav,
Ispričavam se ako je već objavljeno, ali koristim projekt u .net 4.0
  1. Da li moram projekt prebaciti u 4.5. ?
  2. Da li će Raverus.FiskalizacijaDEV.dll podržavati nove protokole.
  3. Da li još nešto osim minimalno Win7 treba mijenjati.
Željko
Coordinator
Sep 15 at 11:59 AM
  1. da
  2. da
  3. ne
nadam se objavi nekih novosti vezanih uz ovaj projekt sutra ili početak slijedećeg tjedna :)
Sep 15 at 12:07 PM
Ispravak,
Da li će biti postavljen novi dll raverus.Fiskalizacija ili postojeći već podržava nove protokole?
Coordinator
Sep 15 at 12:31 PM
Bit će novi dll/com/exe, verzija 3.x
Sep 15 at 12:34 PM
Hvala puno
Coordinator
Sep 19 at 12:26 PM
Rasprava vezana uz verziju 3.x. koja podržava promjene navedene u Tehničkoj specifikaciji v.1.4. je ovdje: https://fiskalizacija.codeplex.com/discussions/658083