Prin prezenta, vă informăm despre o viitoare modificare a politicii browserului Google Chrome care are impact asupra emiterii certificatelor TLS publice și pentru a sublinia acțiunile pe care Cisco le va întreprinde pentru a asigura asistență continuă pentru conexiunile TLS reciproce (mTLS) în mediile Cisco Webex Calling Dedicated Instance și UCM Cloud.

Începând cu 1 februarie 2027, autoritățile publice de certificare (CA) incluse în programul Google Chrome Trust vor înceta să semneze certificate care includ utilizarea extinsă a cheii (EKU) pentru autentificarea clientului (clientAuth).

Începând cu 15 martie 2027, Google va aplica o politică care impune ca autoritățile publice rădăcină (PUC) din Chrome Root Store să emită certificate care să conțină doar EKU-ul Server Authentication (serverAuth). Prin urmare, autoritățile publice rădăcină (Public Root CAs) din Magazinul rădăcină Chrome nu vor mai avea permisiunea de a emite certificate care combină EKU-uri de autentificare a serverului și de autentificare a clientului într-un singur certificat.

Aplicațiile UC cu instanțe dedicate utilizează în prezent certificate care includ atât EKU-uri de autentificare a serverului, cât și EKU-uri de autentificare a clientului într-un singur certificat pentru a stabili încredere pentru conexiunile mTLS. Se așteaptă ca suportul pentru certificate separate de server și client să fie introdus odată cu versiunea 15SU5 a aplicației UC, planificată pentru sfârșitul anului 2026.

În prezent, Dedicated Instance utilizează IdenTrust Commercial Root CA 1, parte a Google Chrome Root Store, pentru a semna aceste certificate. Totuși, din cauza viitoarei modificări a politicii Chrome, această autoritate de certificare nu va mai avea permisiunea de a emite certificate care conțin ambele EKU într-un singur certificat, începând cu¹februarie 2027.

Certificatele afectate

Următoarele certificate de aplicație UC sunt semnate folosind o autoritate publică rădăcină CA și sunt utilizate în mod obișnuit pentru conexiunile mTLS:

Aplicație UC	Tip de certificat	Conexiuni mTLS comune
Cisco Unified CM / IMM-uri	Motan / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth peste MRA, Syslog la distanță
	Manager de apeluri / Manager de apeluri-ECDSA	Trunchiuri SIP, conexiuni inter-noduri și inter-clustere
Cisco Unity Connection	Motan / Tomcat-ECDSA	Proxy SIP, Trunchiuri SIP
Cisco IM și Prezență	Motan / Tomcat-ECDSA	—
	ceaşcă / cupă-ECDSA	SIP securizat cu CUCM, clienți terți, proxy SIP
	cup-xmpp / cup-xmpp-ECDSA	Federare XMPP
Cisco Emergency Responder	Motan / Tomcat-ECDSA	—
Drum expres Cisco	Certificat de server	Acces mobil și la distanță (MRA)

Certificatele nu sunt afectate

Toate certificatele rămase din Instanța Dedicată sunt autosemnate. Pentru informații suplimentare, consultați Gestionarea certificatelor pentru instanțe dedicate.

Pentru a aborda modificarea politicii Chrome și a menține funcționalitatea mTLS neîntreruptă, Cisco va lua următoarele măsuri:

• Începând cu 1 iunie, 2026, Cisco va schimba Autorizația de Certificare Root Publică utilizată pentru semnarea certificatelor de aplicații UC cu instanță dedicată de la IdenTrust Commercial Root CA 1 la IdenTrust Public Sector Root CA 1 pentru toate reînnoirile de certificate.

  Procesul de reînnoire a certificatului rămâne același, iar Centrul de alerte Control Hub notifică clienții prin alerta „Întreținere și întreruperi” atunci când este programată reînnoirea. Pentru mai multe informații, consultați Alerte de întreținere.

• Certificatele vor continua să includă atât EKU-uri de autentificare pentru server, cât și pentru client.

Clienții și partenerii trebuie să finalizeze următoarele acțiuni pentru a asigura compatibilitatea continuă a serviciilor :

1. Verificarea conexiunilor mTLS curente
   1. Identificați certificatele TLS publice care includ EKU-ul de autentificare a clientului.
   2. Verificați dacă aplicațiile care se conectează au încredere în noua autoritate publică rădăcină CA.
2. Adăugați noua autoritate de certificare rădăcină publică (dacă este necesar)
   1. Dacă IdenTrust Public Sector Root CA 1 nu este deja de încredere în mediul dvs., trebuie adăugat.
   2. Certificatul rădăcină poate fi descărcat din depozitul public IdenTrust.

Autorizația CA rădăcină IdenTrust Public Sector 1 este considerată în mod implicit ca fiind de încredere în depozitele standard de încredere pentru următoarele sisteme de operare și platforme:

• Microsoft Windows
• MacOS
• iOS / iPadOS
• Android

Prin urmare, nu este necesară nicio acțiune din partea clientului pentru endpoint-uri sau sisteme care utilizează depozite de încredere implicite pe aceste platforme, cu excepția cazului în care depozitul de încredere a fost modificat sau restricționat în mod explicit prin politica clientului.

Notă privind depozitul de încredere Android

Autorizația CA rădăcină IdenTrust Public Sector 1 este inclusă în depozitul de autorizări CA al sistemului Android și este considerată în mod implicit fiabilă pe versiunile Android acceptate în prezent. Android nu oferă o mapare publică, specifică versiunii, pentru datele individuale de introducere a certificatelor rădăcină. Încrederea este gestionată prin intermediul magazinului CA al sistemului Android și distribuită prin actualizări ale sistemului de operare și actualizări ale sistemului Google Play.

Nu este necesară nicio acțiune din partea clientului, cu excepția cazului în care depozitul de încredere al sistemului Android a fost modificat explicit prin politica dispozitivului, controalele de gestionare a întreprinderii sau restricțiile de încredere specifice aplicației.

Autorizația de acces rădăcină IdenTrust Public Sector CA 1 nu este inclusă în Google Chrome Root Store.

Pentru a se asigura că Google Chrome are încredere în certificatele emise sub această autoritate de certificare principală (CA), clienții trebuie să se asigure că respectivul certificat principal este în mod explicit considerat de încredere la nivel de sistem de operare în locațiile pe care Chrome le consumă pentru deciziile locale de încredere.

Windows – configurație de încredere necesară

Pentru a asigura că Google Chrome pe Windows are încredere în autoritatea de certificare principală (root CA), autoritatea de certificare principală (Root CA 1) din sectorul public IdenTrust trebuie importată într-una dintre următoarele locații:

• Computer local → Autorități de certificare rădăcină de încredere

  (Recomandat pentru sisteme gestionate de întreprinderi)

sau

• Utilizator curent → Autorități de certificare rădăcină de încredere

  (Pentru încredere la nivel de utilizator)

Certificatele importate folosind Expertul de import certificate Windows în aceste locații (inclusiv prin Politica de grup) sunt considerate de încredere de Google Chrome.

Certificatele rădăcină care există doar în Windows Third-Party nu sunt automat acceptate de Chrome, cu excepția cazului în care sunt importate explicit, așa cum este descris mai sus.

Mac OS – configurație de încredere necesară

Pentru a asigura că Google Chrome pe macOS are încredere în autoritatea de certificare rădăcină (root CA), autoritatea de certificare rădăcină IdenTrust Public Sector Root CA 1 trebuie adăugată la macOS Keychain și trebuie considerată în mod explicit de autoritatea de certificare (CA) rădăcină (root CA):

1. Importați certificatul în brelocul de sistem (recomandat) sau în brelocul de conectare

2. Deschideți certificatul și setați:

   • Când utilizați acest certificat: Întotdeauna încredere

     (sau cel puțin, SSL: Întotdeauna încredere)

Odată ce certificatul este considerat de încredere la nivel de sistem sau de utilizator, Google Chrome îl va considera de încredere.

Administratorii pot verifica ce certificate de platformă sunt de încredere pentru Chrome navigând la: chrome://certificate-manager/localcerts/platformcerts

Pentru mai multe informații, consultați Întrebări frecvente Google.

Integrările cu terți reprezintă principalul domeniu care necesită validarea de către client.

Pentru orice aplicații sau servicii terțe care stabilesc conexiuni mTLS cu aplicații UC cu instanță dedicată, clienții trebuie:

• Validați dacă sistemul terț are încredere în IdenTrust Public Sector Root CA 1
• Lucrați direct cu furnizorul terț dacă sunt necesare actualizări ale depozitului de încredere sau modificări ale CA-ului

Clienții pot valida conectivitatea și încrederea pentru noua Autorizație de Certificare Root Publică (Public Root CA) accesând următorul certificat de test IdenTrust.

Dacă acest certificat se deschide cu succes fără avertismente de încredere, înseamnă că IdenTrust Public Sector Root CA 1 este deja de încredere în mediu.

Dacă aveți întrebări despre această modificare, politica browserului Google Chrome sau actualizările certificatelor din Instanța dedicată, deschideți o cerere de serviciu în Control Hub sub ciclul de viață al aplicației UC.

Clienții UCM Cloud (UCMC) care dețin domeniul lor și își gestionează singuri reînnoirile certificatelor de aplicație UC și care nu au delegat autoritatea de domeniu către Cisco pentru semnarea certificatelor de aplicație UC vor fi responsabili pentru colaborarea directă cu autoritățile publice de certificare alese pentru a aborda această modificare.

Acești clienți ar trebui, de asemenea, să respecte recomandările produsului de aplicație UC aplicabil ( produsele Cisco pentru apeluri locale și Cisco Expressway) privind utilizarea certificatelor și remedierea acestora în legătură cu modificările viitoare ale politicii CA publică și a browserului. Pentru mai multe informații, consultați Roluri și responsabilități.

Cisco va continua să ofere actualizări pe măsură ce devine disponibil suport pentru aplicațiile UC pentru certificate separate de server și client. Consultați acest document pentru cele mai recente actualizări.

Modificări EKU certificat: Acțiuni pe care clienții Cisco On-premises Collaboration TREBUIE SĂ LE ÎNTREPRINĂ ACUM