¿Qué implica la actualización del certificado digital en los Servicios Web de la SUNAT?

La SUNAT emitió un comunicado el día 21/05/2019 informando sobre la actualización o cambio del certificado digital SSL de todos sus servicios web.

Aquí se puede apreciar el nuevo certificado instalado en el webservice de facturación y en los demás subdominios de sunat.gob.pe 

¿Pero, por qué sugiere actualizar las Autoridades de Certificación (CA) ?

Los certificados mostrados fueron emitidos en el año 2000 por lo que el 100% de trustores de java, php u otro lenguaje de programación los contienen.

Certificado raíz:

Certificado intermediario 1:

El certificado mostrado es un Sectigo emitido el año 2018; por lo tanto, debe asegurarse que aparezca en la almacén de certificados de confianza.

En el caso de Java, el almacén de confianza es un archivo que contiene los certificados raíz para las Autoridades de Certificación (CA).

El almacén de confianza viene incluido con el JDK / JRE y se llama cacerts.jks y se encuentra en las librerías del java en la carpeta security. Este archivo debe contener el certificado de la SUNAT.

El almacén de confianza se utiliza siempre que nuestro código Java establece una conexión a través de SSL.

Para PHP, cURL utiliza un solo archivo con todas las CA en él. Para agregar una nueva CA a cURL / PHP, debe obtener un paquete completo, agregar el certificado de la SUNAT al paquete y luego decirle a PHP que use el paquete personalizado. Edite el archivo cacert.pem y agregue su nueva clave pública de CA en la parte inferior.

Si está ejecutando al menos php 5.3.7, puede editar el php.ini agregando la linea

openssl.cafile = {Ruta}/cacert.pem

La validación de la cadena de certificados  y la omisión de algún certificado de esta podría generar errores a la hora de realizar la conexión.