Tämä tiedote ilmoittaa sinulle tulevasta Google Chromen selainkäytäntömuutoksesta, joka vaikuttaa julkisten TLS-varmenteiden myöntämiseen, ja esittelee toimenpiteet, joihin Cisco ryhtyy varmistaakseen jatkuvan tuen keskinäisille TLS-yhteyksille (mTLS) Cisco Webex Calling Dedicated Instance- ja UCM Cloud -ympäristöissä.

Google Chromen luottamusohjelmaan kuuluvat julkiset varmenteiden myöntäjät (CA) lopettavat 1. helmikuuta 2027 alkaen sellaisten varmenteiden allekirjoittamisen, jotka sisältävät asiakastodennuksen (clientAuth) laajennetun avaimen käytön (EKU).

Google ottaa käyttöön käytännön, joka edellyttää Chromen juurikaupan julkisilta varmentajilta varmenteita, jotka sisältävät vain palvelimen todennuksen (serverAuth) EKU:n. Google ottaa käyttöön 15. maaliskuuta 2027 alkaen käytännön, joka edellyttää, että Chromen juurikaupan julkiset juurivarmentajat myöntävät varmenteita, jotka sisältävät vain palvelimen todennuksen (serverAuth) EKU:n. Tämän seurauksena Chromen juurikaupan julkiset juurisertifikaattien myöntäjät eivät enää voi myöntää varmenteita, jotka yhdistävät sekä palvelimen todennuksen että asiakkaan todennuksen EKU:t yhteen varmenteeseen.

Dedikoidun instanssin UC-sovellukset käyttävät tällä hetkellä varmenteita, jotka sisältävät sekä palvelimen todennuksen että asiakkaan todennuksen EKU:t samassa varmenteessa mTLS-yhteyksien luottamuksen muodostamiseksi. Erillisten palvelin- ja asiakasvarmenteiden tuen odotetaan tulevan käyttöön UC-sovelluksen versiossa v15SU5, joka on suunniteltu julkaistavaksi myöhemmin vuonna 2026.

Tällä hetkellä Dedicated Instance käyttää näiden varmenteiden allekirjoittamiseen IdenTrust Commercial Root CA 1 -sertifikaattia, joka on osa Google Chromen juurisäilöä. Chromen tulevan käytäntömuutoksen vuoksi tämä varmenteiden myöntäjä ei kuitenkaan enää saa myöntää varmenteita, jotka sisältävät molemmat EKU:t yhdessä varmenteessa^{1. helmikuuta}2027 alkaen.

Vaikuttavat sertifikaatit

Seuraavat UC-sovellusvarmenteet allekirjoitetaan julkisen päävarmentajan (Public Root CA) avulla, ja niitä käytetään yleisesti mTLS-yhteyksissä:

UC-sovellus	Varmenteen tyyppi	Yleisiä mTLS-yhteyksiä
Cisco Unified CM / pk-yritys	Kollikissa / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth MRA:n kautta, etäsyslog
	Puhelunhallinta / CallManager-ECDSA	SIP-runkoyhteydet, solmujen väliset ja klusterien väliset yhteydet
Cisco Unity Connection	Kollikissa / Tomcat-ECDSA	SIP-välityspalvelin, SIP-runkoyhteydet
Cisco pikaviestintä ja läsnäolo	Kollikissa / Tomcat-ECDSA	—
	kuppi / kuppi-ECDSA	Suojattu SIP CUCM:n, kolmannen osapuolen asiakkaiden ja SIP-välityspalvelimen avulla
	cup-xmpp / cup-xmpp-ECDSA	XMPP-liitto
Ciscon hätätilanteiden vastaaja	Kollikissa / Tomcat-ECDSA	—
Cisco Expressway	Palvelinvarmenne	Mobiili- ja etäkäyttö (MRA)

Varmenteet eivät ole muuttuneet

Kaikki jäljellä olevat Dedicated Instancen varmenteet ovat itse allekirjoitettuja. Lisätietoja on kohdassa Dedicated Instance -sertifikaattien hallinta.

Chromen käytäntömuutoksen korjaamiseksi ja mTLS-toiminnan keskeytymättömyyden ylläpitämiseksi Cisco ryhtyy seuraaviin toimiin:

• Cisco vaihtaa 1. kesäkuuta2026alkaen Dedicated Instance UC -sovellusvarmenteiden allekirjoittamiseen käytettävän julkisen juurivarmenteen myöntäjän IdenTrust Commercial Root CA 1:stä IdenTrust Public Sector Root CA 1: een kaikissa varmenteiden uusimisissa.

  Varmenteen uusimisprosessi pysyy samana, ja Control Hubin hälytyskeskus ilmoittaa asiakkaille "Huolto ja käyttökatkos" -hälytyksen kautta, kun uusiminen on ajoitettu. Lisätietoja on kohdassa Huoltohälytykset.

• Sertifikaatit sisältävät edelleen sekä palvelimen että asiakkaan todennuksen EKU:t.

Asiakkaiden ja kumppaneiden on suoritettava seuraavat toimenpiteet varmistaakseen palvelun jatkuvan yhteensopivuuden :

1. Auditoi nykyiset mTLS-yhteydet
   1. Tunnista julkiset TLS-varmenteet, jotka sisältävät asiakastodennuksen EKU:n.
   2. Varmista, luottavatko yhdistävät sovellukset uuteen julkiseen juurimyöntäjään.
2. Lisää uusi julkinen juurimyöntäjä (tarvittaessa)
   1. Jos IdenTrust Public Sector Root CA 1 ei ole jo luotettu ympäristössäsi, se on lisättävä.
   2. Juurivarmenteen voi ladata IdenTrustin julkisesta arkistosta.

IdenTrust Public Sector Root CA 1:een luotetaan oletusarvoisesti seuraavien käyttöjärjestelmien ja alustojen vakioluottamussäilöissä:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

Tämän seurauksena asiakkaan ei tarvitse tehdä mitään näillä alustoilla oletusarvoisesti luotettavuussäilöjä käyttävien päätepisteiden tai järjestelmien osalta, ellei asiakaskäytäntö ole nimenomaisesti muokannut tai rajoittanut luotettavuussäilöä.

Android-luottamuskaupan huomautus

IdenTrust Public Sector Root CA 1 sisältyy Android-järjestelmän CA-säilöön, ja siihen luotetaan oletusarvoisesti tällä hetkellä tuetuissa Android-versioissa. Android ei tarjoa julkista, versiokohtaista määritystä yksittäisten juurivarmenteiden käyttöönottopäivämäärille. Luottamusta hallitaan Android-järjestelmän CA-kaupan kautta ja jaetaan käyttöjärjestelmäpäivitysten ja Google Play -järjestelmäpäivitysten kautta.

Asiakkaan toimia ei vaadita, ellei Android-järjestelmän luottamussäilöä ole nimenomaisesti muokattu laitekäytännöllä, yrityksen hallintatoiminnoilla tai sovelluskohtaisilla luottamusrajoituksilla.

IdenTrust Public Sector Root CA 1 ei sisälly Google Chromen juurivarastoon.

Jotta Google Chrome luottaa tämän juurivarmentajan myöntämiin varmenteisiin, asiakkaiden on varmistettava, että juurivarmenteeseen luotetaan nimenomaisesti käyttöjärjestelmätasolla sijainneissa, joita Chrome käyttää paikallisia luottamuspäätöksiä varten.

Windows – vaadittu luottamusmääritys

Jotta Google Chrome luottaa päävarmentajaan Windowsissa, IdenTrust Public Sector Root CA 1 on tuotava johonkin seuraavista sijainneista:

• Paikallinen tietokone → Luotetut päävarmentajien myöntäjät

  (Suositellaan yrityksen hallinnoimille järjestelmille)

tai

• Nykyinen käyttäjä → Luotetut juurisertifikaattien myöntäjät

  (Käyttäjätason luottamusta varten)

Google Chrome luottaa Windowsin varmenteiden tuontitoiminnolla näihin sijainteihin (mukaan lukien ryhmäkäytännön kautta) tuotuihin varmenteisiin.

Chrome ei automaattisesti luota juurivarmenteisiin, jotka ovat olemassa vain Windowsin kolmannen osapuolen palvelussa, ellei niitä ole tuotu nimenomaisesti yllä kuvatulla tavalla.

Mac OS – vaadittu luottamusmääritys

Jotta Google Chrome luottaa macOS:n päävarmentajaan, IdenTrust Public Sector Root CA 1 on lisättävä macOS:n avainnippuun ja siihen on erikseen luotettava:

1. Tuo varmenne järjestelmän avainnippuun (suositus) tai kirjautumisavainnippuun

2. Avaa sertifikaatti ja aseta:

   • Tätä sertifikaattia käytettäessä: Luota aina

     (tai vähintään SSL-sertifikaatti: Luota aina)

Kun järjestelmä- tai käyttäjätasolla on luotettu varmenteeseen, Google Chrome pitää sitä luotettavana.

Järjestelmänvalvojat voivat tarkistaa Chromen luottamat alustavarmenteet siirtymällä osoitteeseen: chrome://certificate-manager/localcerts/platformcerts

Lisätietoja on kohdassa Googlen usein kysytyt kysymykset.

Kolmannen osapuolen integraatiot edustavat ensisijaista asiakkaan validointia vaativaa aluetta.

Kaikkien kolmannen osapuolen sovellusten tai palveluiden, jotka muodostavat mTLS-yhteyksiä Dedicated Instance UC -sovelluksiin, osalta asiakkaiden on tehtävä seuraavaa:

• Vahvista, että kolmannen osapuolen järjestelmä luottaa IdenTrust Public Sector Root CA:han 1
• Tee suoraa yhteistyötä kolmannen osapuolen toimittajan kanssa, jos luottamusvarastojen päivityksiä tai varmennesertifikaattien muutoksia tarvitaan.

Asiakkaat voivat vahvistaa uuden julkisen juurivarmentajan yhteyden ja luotettavuuden käyttämällä seuraavaa IdenTrust-testivarmennetta.

Jos tämä varmenne avautuu onnistuneesti ilman luottamusvaroituksia, IdenTrust Public Sector Root CA 1 on jo luotettu ympäristössä.

Jos sinulla on kysyttävää tästä muutoksesta, Google Chromen selainkäytännöstä tai Dedicated Instancen varmennepäivityksistä, avaa palvelupyyntö Control Hubissa kohdassa UC-sovelluksen elinkaari.

UCM Cloudin (UCMC) asiakkaat, jotka omistavat verkkotunnuksensa ja hallinnoivat omia UC-sovellusvarmenteidensa uusimisia ja jotka eivät ole delegoineet verkkotunnuksen valtuuksia Ciscolle UC-sovellusvarmenteiden allekirjoittamista varten, ovat vastuussa suorasta yhteistyöstä valitsemiensa julkisten varmentajien kanssa tämän muutoksen käsittelemiseksi.

Näiden asiakkaiden tulisi myös noudattaa sovellettavia UC-sovellustuotteita ( Ciscon paikalliset puhelutuotteet ja Cisco Expressway) koskevia suosituksia varmenteiden käytöstä ja korjaavista toimenpiteistä, jotka liittyvät tuleviin julkisen varmentajan ja selainkäytäntöjen muutoksiin. Lisätietoja on kohdassa Roolit ja vastuut.

Cisco jatkaa päivitysten tarjoamista sitä mukaa, kun UC-sovellusten tuki erillisille palvelin- ja asiakassertifikaateille tulee saataville. Katso uusimmat päivitykset tästä dokumentista.

Sertifikaatin EKU-muutokset: Toimenpiteet, jotka Ciscon paikallisen yhteistyön asiakkaiden on tehtävä nyt