Ovim putem vas obavještavamo o nadolazećoj promjeni pravila preglednika Google Chrome koja utječe na izdavanje javnih TLS certifikata i ocrtavamo radnje koje će Cisco poduzeti kako bi osigurao kontinuiranu podršku za međusobne TLS (mTLS) veze u okruženjima Cisco Webex Calling Dedicated Instance i UCM Cloud.

Počevši od 1. veljače 2027., javni izdavatelji certifikata (CA) uključeni u program Google Chrome Trust prestat će potpisivati certifikate koji uključuju proširenu upotrebu ključa (EKU) za autentifikaciju klijenta (clientAuth).

Od 15. ožujka 2027. Google će provoditi pravilo koje zahtijeva da javni korijenski CA-ovi u Chromeovoj korijenskoj trgovini izdaju certifikate koji sadrže samo EKU za autentifikaciju poslužitelja (serverAuth). Kao rezultat toga, javni korijenski CA-ovi u Chromeovoj korijenskoj trgovini više neće smjeti izdavati certifikate koji kombiniraju EKU-ove za autentifikaciju poslužitelja i autentifikaciju klijenta u jednom certifikatu.

Namjenske UC aplikacije za instance trenutno koriste certifikate koji uključuju EKU-ove za autentifikaciju poslužitelja i autentifikaciju klijenta unutar jednog certifikata za uspostavljanje povjerenja za mTLS veze. Očekuje se da će podrška za odvojene certifikate poslužitelja i klijenta biti uvedena s izdanjem UC aplikacije v15SU5, planiranim za kasnije 2026. godine.

Trenutno, Dedicated Instance koristi IdenTrust Commercial Root CA 1, dio Google Chrome Root Store-a, za potpisivanje ovih certifikata. Međutim, zbog nadolazeće promjene pravila Chromea, ovom CA više neće biti dopušteno izdavanje certifikata koji sadrže oba EKU-a u jednom certifikatu počevši od 1. veljače2027.

Pogođeni certifikati

Sljedeći UC aplikacijski certifikati potpisani su pomoću javnog korijenskog CA-a i obično se koriste za mTLS veze:

UC aplikacija	Vrsta certifikata	Uobičajene mTLS veze
Cisco Unified CM / Malo i srednje poduzeće	Mačak / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth preko MRA, udaljeni Syslog
	Upravitelj poziva / CallManager-ECDSA	SIP Trunkovi, međučvorne i međuklasterske veze
Cisco Unity veza	Mačak / Tomcat-ECDSA	SIP proxy, SIP Trunks
Cisco IM i Presence	Mačak / Tomcat-ECDSA	—
	kupa / šalica-ECDSA	Sigurni SIP s CUCM-om, klijentima trećih strana, SIP proxyjem
	cup-xmpp / cup-xmpp-ECDSA	XMPP federacija
Cisco Emergency Responder	Mačak / Tomcat-ECDSA	—
Brza cesta Cisco	Certifikat poslužitelja	Mobilni i daljinski pristup (MRA)

Certifikati nisu pogođeni

Svi preostali certifikati u namjenskoj instanci su samopotpisani. Za dodatne informacije pogledajte Upravljanje certifikatima namjenskih instanci.

Kako bi se riješila promjena pravila za Chrome i održala neprekidna funkcionalnost mTLS-a, Cisco će poduzeti sljedeće mjere:

• Od 1. lipnja2026., Cisco će promijeniti javni korijenski CA koji se koristi za potpisivanje certifikata namjenskih instanci UC aplikacija s IdenTrust Commercial Root CA 1 na IdenTrust Public Sector Root CA 1 za sve obnove certifikata.

  Postupak obnove certifikata ostaje isti, a Centar za upozorenja Control Huba obavještava korisnike putem upozorenja "Održavanje i prekid rada" kada je obnova zakazana. Za više informacija pogledajte Obavijesti o održavanju.

• Certifikati će i dalje uključivati EKU-ove za autentifikaciju poslužitelja i klijenta.

Korisnici i partneri moraju izvršiti sljedeće radnje kako bi osigurali kontinuiranu kompatibilnost usluge :

1. Pregled trenutnih mTLS veza
   1. Identificirajte javne TLS certifikate koji uključuju EKU za autentifikaciju klijenta.
   2. Provjerite vjeruju li povezane aplikacije novom javnom korijenskom CA-u.
2. Dodajte novi javni korijenski CA (ako je potrebno)
   1. Ako IdenTrust Public Sector Root CA 1 već nije pouzdan u vašem okruženju, mora se dodati.
   2. Korijenski certifikat može se preuzeti iz javnog repozitorija IdenTrust.

IdenTrust Public Sector Root CA 1 je prema zadanim postavkama pouzdan u standardnim spremištima povjerenja za sljedeće operativne sustave i platforme:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

Kao rezultat toga, nije potrebna nikakva radnja korisnika za krajnje točke ili sustave koji koriste zadane pohrane povjerenja na tim platformama, osim ako pohrana povjerenja nije izričito izmijenjena ili ograničena pravilima korisnika.

Napomena o pouzdanoj trgovini Androida

IdenTrust Public Sector Root CA 1 uključen je u pohranu CA sustava Android i prema zadanim postavkama smatra se pouzdanim na trenutno podržanim verzijama Androida. Android ne pruža javno mapiranje specifično za verziju za datume uvođenja pojedinačnih korijenskih certifikata. Povjerenje se upravlja putem CA trgovine Android sustava i distribuira se putem ažuriranja operativnog sustava i ažuriranja sustava Google Play.

Nije potrebna nikakva radnja korisnika osim ako je pohrana pouzdanih podataka sustava Android izričito izmijenjena pravilima uređaja, kontrolama upravljanja poduzećem ili ograničenjima pouzdanosti specifičnim za aplikaciju.

IdenTrust Public Sector Root CA 1 nije uključen u Google Chrome Root Store.

Kako bi se osiguralo da Google Chrome vjeruje certifikatima izdanim pod ovim korijenskim CA, korisnici moraju osigurati da je korijenski certifikat izričito pouzdan na razini operativnog sustava na lokacijama koje Chrome koristi za lokalne odluke o povjerenju.

Windows – potrebna konfiguracija povjerenja

Kako bi se osiguralo da Google Chrome na Windowsima vjeruje korijenskom CA-u, IdenTrust Public Sector Root CA 1 mora se uvesti na jednu od sljedećih lokacija:

• Lokalno računalo → Pouzdani izvori za certifikaciju korijena

  (Preporučuje se za sustave kojima upravljaju poduzeća)

ili

• Trenutni korisnik → Pouzdani izvori za certifikaciju korijena

  (Za povjerenje na razini korisnika)

Certifikati uvezeni pomoću čarobnjaka za uvoz certifikata sustava Windows na ove lokacije (uključujući i putem grupnih pravila) smatraju se pouzdanima za Google Chrome.

Chrome ne smatra automatski pouzdanim korijenske certifikate koji postoje samo u sustavu Windows Third-Party osim ako se izričito ne uvezu kako je gore opisano.

Mac OS – potrebna konfiguracija povjerenja

Kako bi se osiguralo da Google Chrome na macOS-u vjeruje korijenskom CA-u, IdenTrust Public Sector Root CA 1 mora biti dodan u macOS Keychain i izričito mu se mora vjerovati:

1. Uvezite certifikat u Privjesak ključeva sustava (preporučeno) ili Privjesak ključeva za prijavu

2. Otvorite certifikat i postavite:

   • Prilikom korištenja ovog certifikata: Uvijek vjeruj

     (ili barem SSL: Uvijek vjeruj)

Nakon što je certifikat pouzdan na razini sustava ili korisnika, Google Chrome će ga prihvatiti kao pouzdanog.

Administratori mogu provjeriti kojim certifikatima platforme Chrome vjeruje tako da odu na: chrome://certificate-manager/localcerts/platformcerts

Za više informacija pogledajte Često postavljana pitanja o Googleu.

Integracije trećih strana predstavljaju primarno područje koje zahtijeva validaciju korisnika.

Za sve aplikacije ili usluge trećih strana koje uspostavljaju mTLS veze s aplikacijama namjenske instance UC-a, korisnici moraju:

• Provjerite vjeruje li sustav treće strane IdenTrust Public Sector Root CA 1
• Surađujte izravno s dobavljačem treće strane ako su potrebna ažuriranja pohrane povjerenja ili promjene CA-a

Korisnici mogu potvrditi povezivost i povjerenje za novi javni korijenski CA pristupom sljedećem IdenTrust testnom certifikatu.

Ako se ovaj certifikat uspješno otvori bez upozorenja o pouzdanosti, IdenTrust Public Sector Root CA 1 već je pouzdan u okruženju.

Ako imate pitanja u vezi s ovom promjenom, pravilima preglednika Google Chrome ili ažuriranjima certifikata u Dedicated Instance, otvorite zahtjev za uslugom u Control Hubu pod UC životni ciklus aplikacije.

Korisnici UCM Clouda (UCMC) koji posjeduju vlastitu domenu i upravljaju vlastitim obnavljanjem certifikata UC aplikacije te koji nisu delegirali ovlaštenje domene tvrtki Cisco za potpisivanje certifikata UC aplikacije, bit će odgovorni za izravnu suradnju s odabranim javnim tijelima za izdavanje certifikata kako bi se riješila ova promjena.

Ovi korisnici također bi se trebali uskladiti s primjenjivim preporukama za UC aplikacijske proizvode ( Cisco lokalni proizvodi za pozivanje i Cisco Expressway) u vezi s korištenjem certifikata i sanacijom povezanih s nadolazećim promjenama pravila javnog CA i preglednika. Za više informacija pogledajte Uloge i odgovornosti.

Cisco će nastaviti pružati ažuriranja kako bude dostupna podrška za UC aplikacije za odvojene certifikate poslužitelja i klijenta. Za najnovija ažuriranja pogledajte ovaj dokument.

Promjene EKU-a certifikata: Radnje koje korisnici Cisco On-premises Collaboration moraju poduzeti odmah