Esto es para informarle sobre un próximo cambio en la política del navegador Google Chrome que afecta la emisión de certificados TLS públicos y para describir las acciones que Cisco tomará para garantizar el soporte continuo para conexiones TLS mutuas (mTLS) en entornos de Cisco Webex Calling Dedicated Instance y UCM Cloud.

A partir del^{1 de febrero de} 2027 , las Autoridades de Certificación Públicas (CA) incluidas en el programa Google Chrome Trust dejarán de firmar certificados que incluyan el Uso Extendido de Clave (EKU) de Autenticación de Cliente (clientAuth).

A partir del^{15 de marzo} de 2027, Google aplicará una política que exige que las CA raíz públicas en el Chrome Root Store emitan certificados que contengan únicamente la EKU de autenticación de servidor (serverAuth). Como resultado, las CA raíz públicas en el Chrome Root Store ya no podrán emitir certificados que combinen EKU de autenticación de servidor y de autenticación de cliente en un solo certificado.

Actualmente, las aplicaciones de comunicaciones unificadas de instancia dedicada utilizan certificados que incluyen tanto la autenticación del servidor como las unidades de extensión de autenticación del cliente dentro de un único certificado para establecer la confianza en las conexiones mTLS. Se prevé que la compatibilidad con certificados de servidor y cliente independientes se introduzca con la versión v15SU5 de la aplicación UC, prevista para finales de 2026.

Actualmente, Dedicated Instance utiliza la CA raíz comercial IdentTrust 1, que forma parte del Google Chrome Root Store, para firmar estos certificados. Sin embargo, debido al próximo cambio en la política de Chrome, esta CA ya no podrá emitir certificados que contengan ambos EKU en un solo certificado a partir del^{1 de}febrero de 2027.

Certificados afectados

Los siguientes certificados de aplicación de UC están firmados mediante una CA raíz pública y se utilizan habitualmente para conexiones mTLS:

Solicitud de la UC	Tipo de certificado	Conexiones mTLS comunes
Cisco Unified CM / PYME	Gato / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth sobre MRA, Syslog remoto
	Administrador de llamadas / CallManager-ECDSA	Troncales SIP, conexiones entre nodos y entre clústeres
Cisco Unity Connection	Gato / Tomcat-ECDSA	Proxy SIP, troncales SIP
Presencia y MI de Cisco	Gato / Tomcat-ECDSA	—
	taza / copa-ECDSA	SIP seguro con CUCM, clientes de terceros y proxy SIP.
	taza-xmpp / copa-xmpp-ECDSA	Federación XMPP
Cisco Emergency Responder	Gato / Tomcat-ECDSA	—
Cisco Expressway	Certificado del servidor	Dispositivos móviles Remote Access (MRA)

Los certificados no se verán afectados.

Todos los certificados restantes en la instancia dedicada son autofirmados. Para obtener información adicional, consulte Administración de certificados de instancia dedicada.

Para abordar el cambio en la política de Chrome y mantener la funcionalidad mTLS sin interrupciones, Cisco tomará las siguientes medidas:

• A partir del 1 de junio de2026, Cisco cambiará la CA raíz pública utilizada para firmar los certificados de las aplicaciones de UC de instancia dedicada de IdenTrust Commercial Root CA 1 a IdenTrust Public Sector Root CA 1 para todas las renovaciones de certificados.

  El proceso de renovación del certificado sigue siendo el mismo, y el Centro de alertas de Control Hub notifica a los clientes a través de la alerta "Mantenimiento e interrupción" cuando se programa la renovación. Para obtener más información, consulte Alertas de mantenimiento.

• Los certificados seguirán incluyendo tanto las EKU de autenticación de servidor como las de cliente.

Los clientes y socios deben completar las siguientes acciones para garantizar la compatibilidad continua del servicio. :

1. Auditoría de conexiones mTLS actuales
   1. Identifique los certificados TLS públicos que incluyan la EKU de autenticación de cliente.
   2. Verifique si las aplicaciones que se conectan confían en la nueva CA raíz pública.
2. Agregue la nueva CA raíz pública (si es necesario).
   1. Si la CA raíz del sector público IdentTrust 1 no es de confianza en su entorno, debe agregarse.
   2. El certificado raíz se puede descargar desde el repositorio público IdentTrust.

La CA raíz 1 del sector público de IdentTrust es de confianza por defecto en los almacenes de confianza estándar para los siguientes sistemas operativos y plataformas:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

En consecuencia, no se requiere ninguna acción por parte del cliente para los puntos finales o sistemas que utilizan almacenes de confianza predeterminados en estas plataformas, a menos que el almacén de confianza haya sido modificado o restringido explícitamente por la política del cliente.

Nota de la tienda de confianza de Android

La CA raíz 1 del sector público IdentTrust está incluida en el almacén de CA del sistema Android y se considera de confianza por defecto en las versiones de Android compatibles actualmente. Android no proporciona una correspondencia pública y específica de la versión para las fechas de introducción de los certificados raíz individuales. La confianza se gestiona a través de la tienda de autoridades de certificación del sistema Android y se distribuye mediante actualizaciones del sistema operativo y actualizaciones del sistema Google Play.

No se requiere ninguna acción por parte del cliente, a menos que el almacén de confianza del sistema Android haya sido modificado explícitamente por la política del dispositivo, los controles de administración empresarial o las restricciones de confianza específicas de la aplicación.

La CA raíz IdentTrust Public Sector 1 no está incluida en el Google Chrome Root Store.

Para garantizar que Google Chrome confíe en los certificados emitidos bajo esta CA raíz, los clientes deben asegurarse de que el certificado raíz sea de confianza explícita a nivel del sistema operativo en las ubicaciones que Chrome utiliza para tomar decisiones de confianza locales.

Windows: configuración de confianza requerida

Para garantizar que Google Chrome en Windows confíe en la CA raíz, la CA raíz 1 de IdentTrust Public Sector debe importarse en una de las siguientes ubicaciones:

• Ordenador local → Autoridades de certificación raíz de confianza

  (Recomendado para sistemas gestionados por empresas)

o

• Usuario actual → Autoridades de certificación raíz de confianza

  (Para la confianza a nivel de usuario)

Google Chrome confía en los certificados importados mediante el Asistente para importar certificados de Windows en estas ubicaciones (incluso a través de la Directiva de grupo).

Los certificados raíz que solo existen en la carpeta de terceros de Windows no son automáticamente confiables para Chrome a menos que se importen explícitamente como se describe anteriormente.

Mac OS: configuración de confianza requerida

Para garantizar que Google Chrome en macOS confíe en la CA raíz, la CA raíz del sector público IdentTrust 1 debe agregarse al llavero de macOS y marcarse explícitamente como de confianza:

1. Importe el certificado al llavero del sistema (recomendado) o al llavero de inicio de sesión.

2. Abra el certificado y configure:

   • Al utilizar este certificado: Siempre confía

     (o como mínimo, SSL: Siempre confía)

Una vez que el certificado sea reconocido como de confianza a nivel de sistema o de usuario, Google Chrome lo considerará válido.

Los administradores pueden verificar qué certificados de plataforma son de confianza para Chrome accediendo a: chrome://certificate-manager/localcerts/platformcerts

Para obtener más información, consulte las preguntas frecuentes de Google.

Las integraciones con terceros representan el área principal que requiere validación por parte del cliente.

Para cualquier aplicación o servicio de terceros que establezca conexiones mTLS con aplicaciones de UC de instancia dedicada, los clientes deben:

• Validar que el sistema de terceros confía en la CA raíz del sector público de IdentTrust 1
• Trabaje directamente con el proveedor externo si se requieren actualizaciones del almacén de confianza o cambios en la CA.

Los clientes pueden validar la conectividad y la confianza para la nueva CA raíz pública accediendo al siguiente certificado de prueba de IdentTrust.

Si este certificado se abre correctamente sin advertencias de confianza, la CA raíz 1 del sector público de IdentTrust ya es de confianza en el entorno.

Si tiene preguntas sobre este cambio, la política del navegador Google Chrome o las actualizaciones de certificados en la instancia dedicada, abra una solicitud de servicio en Control Hub en Ciclo de vida de la aplicación UC.

Los clientes de UCM Cloud (UCMC) que sean propietarios de su dominio y gestionen sus propias renovaciones de certificados de aplicaciones de comunicaciones unificadas, y que no hayan delegado la autoridad del dominio a Cisco para la firma de certificados de aplicaciones de comunicaciones unificadas, serán responsables de trabajar directamente con las Autoridades de Certificación Públicas que hayan elegido para abordar este cambio.

Estos clientes también deben alinearse con las recomendaciones del producto de aplicación UC aplicable ( Productos de llamadas locales de Cisco y Cisco Expressway) con respecto al uso de certificados y la corrección relacionada con los próximos cambios en la CA pública y la política del navegador. Para obtener más información, consulte Roles y responsabilidades.

Cisco seguirá proporcionando actualizaciones a medida que esté disponible la compatibilidad de las aplicaciones de comunicaciones unificadas con certificados de servidor y cliente independientes. Consulte este documento para obtener las últimas actualizaciones.

Cambios en el certificado EKU: Acciones que los clientes de Cisco On-premise Collaboration DEBEN TOMAR AHORA