Ďakujeme za vašu spätnú väzbu.

Týmto vás informujeme o pripravovanej zmene pravidiel prehliadača Google Chrome, ktorá má vplyv na vydávanie verejných certifikátov TLS a načrtáva kroky, ktoré spoločnosť Cisco podnikne na zabezpečenie nepretržitej podpory vzájomných pripojení TLS (mTLS) v prostrediach Cisco Webex Calling Dedicated Instance a UCM Cloud.

Od 1. februára 2027 verejné certifikačné autority (CA) zahrnuté v programe Google Chrome Trust prestanú podpisovať certifikáty, ktoré obsahujú rozšírené použitie kľúča (EKU) overovania klienta (clientAuth).

S účinnosťou od 15. marca 2027 bude spoločnosť Google presadzovať zásadu, ktorá vyžaduje, aby verejné koreňové certifikačné autority v koreňovom úložisku prehliadača Chrome vydávali certifikáty obsahujúce iba EKU overenia servera (serverAuth). V dôsledku toho verejné koreňové certifikačné autority v koreňovom úložisku prehliadača Chrome už nebudú môcť vydávať certifikáty, ktoré kombinujú EKU pre overenie servera aj overenie klienta v jednom certifikáte.

Aplikácie UC pre vyhradené inštancie v súčasnosti používajú certifikáty, ktoré obsahujú EKU pre overenie servera aj overenie klienta v rámci jedného certifikátu na vytvorenie dôveryhodnosti pre pripojenia mTLS. Očakáva sa, že podpora pre samostatné certifikáty servera a klienta bude zavedená s verziou aplikácie UC v15SU5, ktorá je plánovaná na neskoršiu časť roka 2026.

V súčasnosti Dedikovaná inštancia používa na podpisovanie týchto certifikátov komerčnú koreňovú certifikačnú autoritu IdenTrust 1, ktorá je súčasťou koreňového úložiska prehliadača Google Chrome. Avšak z dôvodu nadchádzajúcej zmeny pravidiel prehliadača Chrome už táto certifikačná autorita nebude môcť od 1. februára2027 vydávať certifikáty obsahujúce obe identifikátory EKU v jednom certifikáte.

Ovplyvnené certifikáty

Nasledujúce certifikáty aplikácií UC sú podpísané pomocou verejnej koreňovej certifikačnej autority a bežne sa používajú pre pripojenia mTLS:

Aplikácia UC	Typ certifikátu	Bežné pripojenia mTLS
Cisco Unified CM / Malé a stredné podniky	Kocúr / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth cez MRA, vzdialený Syslog
	Správca hovorov / CallManager-ECDSA	SIP trunky, pripojenia medzi uzlami a medzi klastrami
Pripojenie Cisco Unity	Kocúr / Tomcat-ECDSA	SIP proxy, SIP trunky
Cisco IM a Presence	Kocúr / Tomcat-ECDSA	—
	pohár / pohár-ECDSA	Bezpečný SIP s CUCM, klientmi tretích strán, SIP proxy
	pohár-xmpp / pohár-xmpp-ECDSA	Federácia XMPP
Núdzový respondent Cisco	Kocúr / Tomcat-ECDSA	—
Diaľnica Cisco	Certifikát servera	Mobilný a vzdialený prístup (MRA)

Certifikáty nie sú ovplyvnené

Všetky zostávajúce certifikáty vo vyhradenej inštancii sú podpísané sami. Ďalšie informácie nájdete v časti Správa certifikátov vyhradených inštancií.

V záujme riešenia zmeny pravidiel prehliadača Chrome a zachovania neprerušenej funkčnosti mTLS spoločnosť Cisco podnikne nasledujúce kroky:

• S platnosťou od 1. júna2026spoločnosť Cisco zmení verejnú koreňovú certifikačnú autoritu (CCA) používanú na podpisovanie certifikátov aplikácií vyhradených inštancií UC z IdenTrust Commercial Root CA 1 na IdenTrust Public Sector Root CA 1 pre všetky obnovenia certifikátov.

  Proces obnovy certifikátu zostáva rovnaký a Centrum upozornení Control Hub upozorní zákazníkov prostredníctvom upozornenia „Údržba a výpadok“, keď je naplánovaná obnova. Viac informácií nájdete v časti Upozornenia na údržbu.

• Certifikáty budú naďalej obsahovať EKU na overenie servera aj klienta.

Všetky aplikácie alebo služby tretích strán v prostredí zákazníka, ktoré pripájajú aplikácie UC vo vyhradenej inštancii pomocou pripojení TLS alebo mTLS, musia používať rovnaký reťazec certifikátov ako aplikácie UC vo vyhradenej inštancii. Ak úložisko dôveryhodných certifikátov zákazníckych systémov alebo aplikácií ešte neobsahuje požadované certifikačné autority IdenTrust, je potrebné importovať nový koreňový certifikát, aby sa predišlo TLS/mTLS zlyhania pripojenia.

1. Auditovať aktuálne pripojenia mTLS
   1. Identifikujte aplikácie, služby tretích strán alebo integrácie, ktoré sa pripájajú k aplikáciám UC vo vyhradenej inštancii pomocou TLS alebo mTLS.
   2. Overte, či tieto aplikácie dôverujú novej verejnej koreňovej certifikačnej autorite: IdenTrust Verejný sektor Koreňová certifikačná autorita 1.
2. Pridajte novú verejnú koreňovú certifikačnú autoritu (ak je to potrebné)
   1. Ak IdenTrust Public Sector Root CA 1 ešte nie je dôveryhodná v zákazníckej aplikácii alebo v systémovom úložisku dôveryhodných údajov, musí sa pridať.
   2. To isté sa dá stiahnuť z nasledujúcich odkazov:

      Koreňová certifikačná autorita: IdenTrust Verejný sektor Koreňová certifikačná autorita 1

      Alternatívna stránka na stiahnutie: Súbory na stiahnutie podpory IdenTrust

      Issuing/Sub Kalifornia: IdenTrust Verejný sektorový server CA 1.

   Pre väčšinu aplikácií stačí dôverovať koreňovej certifikačnej autorite, ak server poskytuje celý reťazec. Ten/Tá/To Issuing/Sub CA je výhodné zahrnúť pre aplikácie, ktoré vyžadujú samostatný import prechodného certifikátu.

Koreňová certifikačná autorita IdenTrust Public Sector Root CA 1 je štandardne dôveryhodná v štandardných úložiskách dôveryhodných údajov pre nasledujúce operačné systémy a platformy:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

V dôsledku toho sa pre koncové body alebo systémy používajúce predvolené úložiská dôveryhodných údajov na týchto platformách nevyžaduje žiadna akcia zákazníka, pokiaľ úložisko dôveryhodných údajov nebolo explicitne upravené alebo obmedzené politikou zákazníka.

Poznámka k úložisku dôveryhodných údajov pre Android

Koreňová certifikačná autorita IdenTrust Public Sector 1 je súčasťou úložiska certifikačných autorít systému Android a v aktuálne podporovaných verziách systému Android je štandardne dôveryhodná. Android neposkytuje verejné mapovanie dátumov zavedenia jednotlivých koreňových certifikátov špecifické pre danú verziu. Dôvera sa spravuje prostredníctvom obchodu CA systému Android a distribuuje sa prostredníctvom aktualizácií operačného systému a aktualizácií systému Google Play.

Nie je potrebná žiadna akcia zákazníka, pokiaľ úložisko dôveryhodných systémov Android nebolo explicitne upravené politikou zariadenia, ovládacími prvkami podnikovej správy alebo obmedzeniami dôveryhodnosti špecifických aplikácií.

Koreňová certifikačná autorita IdenTrust Public Sector Root CA 1 nie je zahrnutá v úložisku koreňových archívov prehliadača Google Chrome.

Aby sa zabezpečilo, že prehliadač Google Chrome dôveruje certifikátom vydaným pod touto koreňovou certifikačnou autoritou, zákazníci musia zabezpečiť, aby bol koreňový certifikát explicitne dôveryhodný na úrovni operačného systému v umiestneniach, ktoré prehliadač Chrome používa na lokálne rozhodnutia o dôveryhodnosti.

Windows – požadovaná konfigurácia dôveryhodnosti

Aby prehliadač Google Chrome v systéme Windows dôveroval koreňovej certifikačnej autorite, je potrebné importovať koreňovú certifikačnú autoritu IdenTrust Public Sector Root CA 1 do jedného z nasledujúcich umiestnení:

• Lokálny počítač → Dôveryhodné koreňové certifikačné autority

  (Odporúčané pre systémy spravované podnikom)

alebo

• Aktuálny používateľ → Dôveryhodné koreňové certifikačné autority

  (Pre dôveru na úrovni používateľa)

Certifikáty importované pomocou Sprievodcu importom certifikátov systému Windows do týchto umiestnení (vrátane prostredníctvom skupinovej politiky) sú dôveryhodné pre prehliadač Google Chrome.

Koreňové certifikáty, ktoré existujú iba v systéme Windows od tretej strany, nie sú automaticky dôveryhodné prehliadačom Chrome, pokiaľ nie sú explicitne importované podľa vyššie uvedeného postupu.

Mac OS – požadovaná konfigurácia dôveryhodnosti

Aby sa zabezpečilo, že prehliadač Google Chrome v systéme macOS dôveruje koreňovej certifikačnej autorite, musí byť do kľúčenky macOS pridaná koreňová certifikačná autorita IdenTrust Public Sector Root CA 1 a musí byť explicitne dôveryhodná:

1. Importujte certifikát do systémovej kľúčenky (odporúčané) alebo prihlasovacej kľúčenky

2. Otvorte certifikát a nastavte:

   • Pri použití tohto certifikátu: Vždy dôveruj

     (alebo minimálne SSL: Vždy dôveruj)

Keď je certifikát dôveryhodný na úrovni systému alebo používateľa, prehliadač Google Chrome ho bude považovať za dôveryhodný.

Správcovia môžu overiť, ktorým certifikátom platformy prehliadač Chrome dôveruje, tak, že prejdú na: chrome://certificate-manager/localcerts/platformcerts

Viac informácií nájdete v časti Často kladené otázky spoločnosti Google.

Integrácie tretích strán vyžadujú primárne overenie zákazníkom.

Pre akékoľvek aplikácie alebo služby tretích strán, ktoré vytvárajú TLS/mTLS Pri pripojeniach s aplikáciami UC pre vyhradenú inštanciu musia zákazníci postupovať podľa krokov uvedených v časti Zmeny certifikátov verejnej certifikačnej autority, ktoré majú vplyv na vyhradenú inštanciu.

Ak sú potrebné aktualizácie úložiska dôveryhodných údajov, budete musieť priamo spolupracovať s dodávateľom tretej strany alebo správcom IT. Úpravy úložísk dôveryhodnosti certifikátov tretích strán alebo správania pri overovaní certifikátov sú mimo zodpovednosti spoločnosti Cisco a spoločnosť Cisco nemôže pomáhať s konfiguráciami dôveryhodnosti certifikátov tretích strán ani s riešením problémov.

Zákazníci môžu overiť pripojenie a dôveryhodnosť novej verejnej koreňovej certifikačnej autority prístupom k nasledujúcemu testovaciemu certifikátu IdenTrust.

Ak sa tento certifikát úspešne otvorí bez upozornení na dôveryhodnosť, koreňová certifikačná autorita IdenTrust Public Sector Root CA 1 je už v prostredí dôveryhodná.

Ak máte otázky týkajúce sa tejto zmeny, pravidiel prehliadača Google Chrome alebo aktualizácií certifikátov vo vyhradenej inštancii, otvorte žiadosť o službu v aplikácii Control Hub v časti životný cyklus aplikácie UC.

Zákazníci služby UCM Cloud (UCMC), ktorí vlastnia svoju doménu a spravujú si vlastné obnovenia certifikátov aplikácií UC a ktorí nedelegovali spoločnosti Cisco oprávnenie domény na podpisovanie certifikátov aplikácií UC, budú zodpovední za priamu spoluprácu s vybranými verejnými certifikačnými autoritami pri riešení tejto zmeny.

Títo zákazníci by sa mali tiež riadiť príslušnými odporúčaniami pre produkty UC ( produkty Cisco pre lokálne volania a Cisco Expressway) týkajúcimi sa používania certifikátov a nápravných opatrení súvisiacich s nadchádzajúcimi zmenami politiky verejnej certifikačnej autority a prehliadača. Viac informácií nájdete v časti Úlohy a zodpovednosti.

Spoločnosť Cisco bude naďalej poskytovať aktualizácie, akonáhle bude k dispozícii podpora aplikácií UC pre samostatné certifikáty servera a klienta. Najnovšie aktualizácie nájdete v tomto dokumente.

Zmeny EKU certifikátu: Opatrenia, ktoré musia zákazníci Cisco On-premises Collaboration podniknúť TERAZ