Con la presente vi informiamo di un imminente cambiamento delle norme del browser Google Chrome che avrà un impatto sul rilascio dei certificati TLS pubblici e vi illustriamo le azioni che Cisco intraprenderà per garantire il supporto continuo delle connessioni TLS reciproche (mTLS) negli ambienti Cisco Webex Calling Dedicated Instance e UCM Cloud.

A partire dal 1 febbraio^st 2027, le autorità di certificazione pubbliche (CA) incluse nel programma Google Chrome Trust smetteranno di firmare i certificati che includono l'utilizzo esteso della chiave (EKU) di autenticazione client (clientAuth).

A partire dal 15 marzo^th 2027, Google applicherà una politica che richiede alle CA radice pubbliche nel Chrome Root Store di emettere certificati contenenti solo l'EKU Server Authentication (serverAuth). Di conseguenza, le CA radice pubbliche presenti nel Chrome Root Store non saranno più autorizzate a emettere certificati che combinino EKU di autenticazione server e autenticazione client in un unico certificato.

Attualmente, le applicazioni UC con istanza dedicata utilizzano certificati che includono sia le EKU di autenticazione del server che quelle di autenticazione del client all'interno di un unico certificato per stabilire la fiducia nelle connessioni mTLS. Il supporto per certificati server e client separati dovrebbe essere introdotto con la versione 15SU5 dell'applicazione UC, prevista per la fine del 2026.

Attualmente, l'istanza dedicata utilizza l'autorità di certificazione radice commerciale IdenTrust CA 1, parte del Google Chrome Root Store, per firmare questi certificati. Tuttavia, a causa dell'imminente modifica delle policy di Chrome, a partire dal^{1 febbraio}2027 questa CA non sarà più autorizzata a emettere certificati contenenti entrambi gli EKU in un unico certificato.

Certificati interessati

I seguenti certificati applicativi UC sono firmati utilizzando una CA radice pubblica e sono comunemente utilizzati per le connessioni mTLS:

domanda UC	Tipo di certificato	Connessioni mTLS comuni
Cisco Unified CM / PMI	Gatto maschio / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth su MRA, Syslog remoto
	CallManager / CallManager-ECDSA	Trunk SIP, connessioni tra nodi e tra cluster
Cisco Unity Connection	Gatto maschio / Tomcat-ECDSA	Proxy SIP, Trunk SIP
Cisco IM and Presence	Gatto maschio / Tomcat-ECDSA	—
	tazza / cup-ECDSA	Protezione SIP con CUCM, client di terze parti, proxy SIP
	cup-xmpp / cup-xmpp-ECDSA	Federazione XMPP
Cisco Emergency Responder	Gatto maschio / Tomcat-ECDSA	—
Cisco Expressway	Certificato server	Dispositivo mobile Remote Access (MRA)

Certificati non interessati

Tutti i certificati rimanenti nell'istanza dedicata sono autofirmati. Per ulteriori informazioni, consultare Gestione dei certificati per istanze dedicate.

Per far fronte alla modifica delle policy di Chrome e mantenere la funzionalità mTLS ininterrotta, Cisco adotterà le seguenti misure:

• A partire dal 1° giugno^st, 2026, Cisco cambierà la CA radice pubblica utilizzata per la firma dei certificati delle applicazioni UC per istanze dedicate da IdenTrust Commercial Root CA 1 a IdenTrust Public Sector Root CA 1 per tutti i rinnovi dei certificati.

  La procedura di rinnovo del certificato rimane invariata e il Centro avvisi di Control Hub notifica ai clienti, tramite l'avviso "Manutenzione e interruzione", quando è previsto il rinnovo. Per ulteriori informazioni, consultare Avvisi di manutenzione.

• I certificati continueranno a includere sia gli EKU di autenticazione del server che quelli del client.

Clienti e partner devono completare le seguenti azioni per garantire la continua compatibilità del servizio :

1. Verifica le connessioni mTLS correnti
   1. Identificare i certificati TLS pubblici che includono l'EKU di autenticazione client.
   2. Verificare se le applicazioni che si connettono si fidano della nuova CA radice pubblica.
2. Aggiungere la nuova CA radice pubblica (se necessario).
   1. Se l'autorità di certificazione radice del settore pubblico IdenTrust Public Sector Root CA 1 non è già considerata attendibile nel tuo ambiente, è necessario aggiungerla.
   2. Il certificato radice può essere scaricato dal repository pubblico di IdenTrust.

La CA radice IdenTrust Public Sector 1 è considerata attendibile per impostazione predefinita negli archivi di certificati attendibili standard per i seguenti sistemi operativi e piattaforme:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

Di conseguenza, non è richiesta alcuna azione da parte del cliente per gli endpoint o i sistemi che utilizzano archivi di fiducia predefiniti su queste piattaforme, a meno che l'archivio di fiducia non sia stato esplicitamente modificato o limitato dalle policy del cliente.

Nota del Trust Store di Android

L'autorità di certificazione radice IdenTrust Public Sector CA 1 è inclusa nell'archivio delle autorità di certificazione del sistema Android ed è considerata attendibile per impostazione predefinita nelle versioni di Android attualmente supportate. Android non fornisce una mappatura pubblica e specifica per la versione relativa alle date di introduzione dei singoli certificati radice. La fiducia viene gestita tramite l'archivio CA del sistema Android e distribuita tramite aggiornamenti del sistema operativo e aggiornamenti di sistema di Google Play.

Non è richiesta alcuna azione da parte del cliente, a meno che l'archivio attendibile del sistema Android non sia stato esplicitamente modificato tramite criteri del dispositivo, controlli di gestione aziendale o restrizioni di attendibilità specifiche dell'applicazione.

La CA radice IdenTrust Public Sector CA 1 non è inclusa nel Chrome Web Store.

Per garantire che Google Chrome consideri attendibili i certificati emessi da questa CA radice, i clienti devono assicurarsi che il certificato radice sia esplicitamente considerato attendibile a livello di sistema operativo nelle posizioni utilizzate da Chrome per le decisioni di attendibilità locali.

Windows – configurazione di attendibilità richiesta

Per garantire che l'autorità di certificazione radice (CA) sia considerata attendibile da Google Chrome su Windows, è necessario importare l'IdenTrust Public Sector Root CA 1 in una delle seguenti posizioni:

• Computer locale → Autorità di certificazione radice attendibili

  (Consigliato per sistemi gestiti a livello aziendale)

o

• Utente corrente → Autorità di certificazione radice attendibili

  (Per la fiducia a livello utente)

I certificati importati in queste posizioni tramite la procedura guidata di importazione certificati di Windows (anche tramite Criteri di gruppo) sono considerati attendibili da Google Chrome.

I certificati radice presenti solo nella cartella "Certificati di terze parti" di Windows non vengono automaticamente considerati attendibili da Chrome, a meno che non vengano importati esplicitamente come descritto in precedenza.

Mac OS – configurazione di attendibilità richiesta

Per garantire che l'autorità di certificazione radice (CA) sia considerata attendibile da Google Chrome su macOS, è necessario aggiungere IdenTrust Public Sector Root CA 1 al Portachiavi di macOS e considerarla esplicitamente attendibile:

1. Importa il certificato nel Portachiavi di sistema (consigliato) o nel Portachiavi di accesso.

2. Apri il certificato e imposta:

   • Quando si utilizza questo certificato: Abbi sempre fiducia

     (o almeno, SSL: Abbi sempre fiducia)

Una volta che il certificato viene considerato attendibile a livello di sistema o di utente, Google Chrome lo riconoscerà come tale.

Gli amministratori possono verificare quali certificati della piattaforma sono considerati attendibili da Chrome accedendo a: chrome://certificate-manager/localcerts/platformcerts

Per ulteriori informazioni, consultare le FAQ di Google.

Le integrazioni con terze parti rappresentano l'area principale che richiede la convalida da parte del cliente.

Per qualsiasi applicazione o servizio di terze parti che stabilisca connessioni mTLS con applicazioni UC a istanza dedicata, i clienti devono:

• Verificare che il sistema di terze parti si fidi dell'autorità di certificazione radice IdenTrust Public Sector CA 1.
• Se sono necessari aggiornamenti del trust store o modifiche alle CA, rivolgersi direttamente al fornitore terzo.

I clienti possono verificare la connettività e l'affidabilità della nuova CA radice pubblica accedendo al seguente certificato di testIdenTrust .

Se questo certificato viene aperto correttamente senza avvisi di attendibilità, l'autorità di certificazione radice IdenTrust Public Sector Root CA 1 è già considerata attendibile nell'ambiente.

Se hai domande in merito a questa modifica, alle norme del browser Google Chrome o agli aggiornamenti dei certificati nell'istanza dedicata, apri una richiesta di assistenza in Control Hub nella sezione Ciclo di vita dell'applicazione UC.

I clienti di UCM Cloud (UCMC) che possiedono il proprio dominio e gestiscono autonomamente il rinnovo dei certificati delle applicazioni UC, e che non hanno delegato a Cisco l'autorità di dominio per la firma dei certificati delle applicazioni UC, dovranno contattare direttamente le autorità di certificazione pubbliche prescelte per gestire questa modifica.

Questi clienti devono inoltre conformarsi alle raccomandazioni relative ai prodotti applicativi UC applicabili ( prodotti di chiamata Cisco on -premise e Cisco Expressway) in merito all'utilizzo dei certificati e alla risoluzione dei problemi relativi alle imminenti modifiche alle policy delle CA pubbliche e dei browser. Per ulteriori informazioni, consultare Ruoli eresponsabilità .

Cisco continuerà a fornire aggiornamenti man mano che sarà disponibile il supporto per certificati server e client separati per le applicazioni UC. Consultare questo documento per gli ultimi aggiornamenti.

Modifiche al certificato EKU: Azioni che i clienti di Cisco On-premises Collaboration DEVONO intraprendere ORA