Týmto vás informujeme o pripravovanej zmene pravidiel prehliadača Google Chrome, ktorá má vplyv na vydávanie verejných certifikátov TLS a načrtáva kroky, ktoré spoločnosť Cisco podnikne na zabezpečenie nepretržitej podpory vzájomných pripojení TLS (mTLS) v prostrediach Cisco Webex Calling Dedicated Instance a UCM Cloud.

Od 1. februára 2027 verejné certifikačné autority (CA) zahrnuté v programe Google Chrome Trust prestanú podpisovať certifikáty, ktoré obsahujú rozšírené použitie kľúča (EKU) overovania klienta (clientAuth).

S účinnosťou od 15. marca 2027 bude spoločnosť Google presadzovať zásadu, ktorá vyžaduje, aby verejné koreňové certifikačné autority v koreňovom úložisku prehliadača Chrome vydávali certifikáty obsahujúce iba EKU overenia servera (serverAuth). V dôsledku toho verejné koreňové certifikačné autority v koreňovom úložisku prehliadača Chrome už nebudú môcť vydávať certifikáty, ktoré kombinujú EKU pre overenie servera aj overenie klienta v jednom certifikáte.

Aplikácie UC pre vyhradené inštancie v súčasnosti používajú certifikáty, ktoré obsahujú EKU pre overenie servera aj overenie klienta v rámci jedného certifikátu na vytvorenie dôveryhodnosti pre pripojenia mTLS. Očakáva sa, že podpora pre samostatné certifikáty servera a klienta bude zavedená s verziou aplikácie UC v15SU5, ktorá je plánovaná na neskoršiu časť roka 2026.

V súčasnosti Dedicated Instance používa na podpisovanie týchto certifikátov komerčnú koreňovú certifikačnú autoritu IdenTrust 1, ktorá je súčasťou koreňového úložiska prehliadača Google Chrome. Avšak z dôvodu nadchádzajúcej zmeny pravidiel prehliadača Chrome už táto certifikačná autorita nebude môcť od 1. februára2027 vydávať certifikáty obsahujúce obe identifikátory EKU v jednom certifikáte.

Ovplyvnené certifikáty

Nasledujúce certifikáty aplikácií UC sú podpísané pomocou verejnej koreňovej certifikačnej autority a bežne sa používajú pre pripojenia mTLS:

Aplikácia UC	Typ certifikátu	Bežné pripojenia mTLS
Cisco Unified CM / Malé a stredné podniky	Kocúr / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth cez MRA, vzdialený Syslog
	Správca hovorov / CallManager-ECDSA	SIP trunky, pripojenia medzi uzlami a medzi klastrami
Pripojenie Cisco Unity	Kocúr / Tomcat-ECDSA	SIP proxy, SIP trunky
Cisco IM a Presence	Kocúr / Tomcat-ECDSA	—
	pohár / pohár-ECDSA	Bezpečný SIP s CUCM, klientmi tretích strán, SIP proxy
	pohár-xmpp / pohár-xmpp-ECDSA	Federácia XMPP
Núdzový respondent Cisco	Kocúr / Tomcat-ECDSA	—
Diaľnica Cisco	Certifikát servera	Mobilný a vzdialený prístup (MRA)

Certifikáty nie sú ovplyvnené

Všetky zostávajúce certifikáty vo vyhradenej inštancii sú podpísané sami. Ďalšie informácie nájdete v časti Správa certifikátov vyhradených inštancií.

V záujme riešenia zmeny pravidiel prehliadača Chrome a zachovania neprerušenej funkčnosti mTLS spoločnosť Cisco podnikne nasledujúce kroky:

• S platnosťou od 1. júna2026spoločnosť Cisco zmení verejnú koreňovú certifikačnú autoritu (CCA) používanú na podpisovanie certifikátov aplikácií vyhradených inštancií UC z IdenTrust Commercial Root CA 1 na IdenTrust Public Sector Root CA 1 pre všetky obnovenia certifikátov.

  Proces obnovy certifikátu zostáva rovnaký a Centrum upozornení Control Hub upozorní zákazníkov prostredníctvom upozornenia „Údržba a výpadok“, keď je naplánovaná obnova. Viac informácií nájdete v časti Upozornenia na údržbu.

• Certifikáty budú naďalej obsahovať EKU na overenie servera aj klienta.

Zákazníci a partneri musia vykonať nasledujúce kroky, aby zabezpečili nepretržitú kompatibilitu služieb :

1. Auditovať aktuálne pripojenia mTLS
   1. Identifikujte verejné certifikáty TLS, ktoré obsahujú EKU overovania klienta.
   2. Overte, či pripájajúce sa aplikácie dôverujú novej verejnej koreňovej certifikačnej autorite.
2. Pridajte novú verejnú koreňovú certifikačnú autoritu (ak je to potrebné)
   1. Ak IdenTrust Public Sector Root CA 1 ešte nie je vo vašom prostredí dôveryhodná, je potrebné ju pridať.
   2. Koreňový certifikát je možné stiahnuť z verejného repozitára IdenTrust.

Koreňová certifikačná autorita 1 verejného sektora IdenTrust je štandardne dôveryhodná v štandardných úložiskách dôveryhodných údajov pre nasledujúce operačné systémy a platformy:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

V dôsledku toho sa pre koncové body alebo systémy používajúce predvolené úložiská dôveryhodných údajov na týchto platformách nevyžaduje žiadna akcia zákazníka, pokiaľ úložisko dôveryhodných údajov nebolo explicitne upravené alebo obmedzené politikou zákazníka.

Poznámka k úložisku dôveryhodných údajov pre Android

Koreňová certifikačná autorita IdenTrust Public Sector 1 je súčasťou úložiska certifikačných autorít systému Android a v aktuálne podporovaných verziách systému Android je štandardne dôveryhodná. Android neposkytuje verejné mapovanie dátumov zavedenia jednotlivých koreňových certifikátov špecifické pre danú verziu. Dôvera sa spravuje prostredníctvom obchodu CA systému Android a distribuuje sa prostredníctvom aktualizácií operačného systému a aktualizácií systému Google Play.

Nie je potrebná žiadna akcia zákazníka, pokiaľ úložisko dôveryhodných systémov Android nebolo explicitne upravené politikou zariadenia, ovládacími prvkami podnikovej správy alebo obmedzeniami dôveryhodnosti špecifických aplikácií.

Koreňová certifikačná autorita IdenTrust Public Sector Root CA 1 nie je zahrnutá v úložisku koreňových archívov prehliadača Google Chrome.

Aby sa zabezpečilo, že prehliadač Google Chrome dôveruje certifikátom vydaným pod touto koreňovou certifikačnou autoritou, zákazníci musia zabezpečiť, aby bol koreňový certifikát explicitne dôveryhodný na úrovni operačného systému v umiestneniach, ktoré prehliadač Chrome používa na lokálne rozhodnutia o dôveryhodnosti.

Windows – požadovaná konfigurácia dôveryhodnosti

Aby prehliadač Google Chrome v systéme Windows dôveroval koreňovej certifikačnej autorite, je potrebné importovať koreňovú certifikačnú autoritu IdenTrust Public Sector Root CA 1 do jedného z nasledujúcich umiestnení:

• Lokálny počítač → Dôveryhodné koreňové certifikačné autority

  (Odporúčané pre systémy spravované podnikom)

alebo

• Aktuálny používateľ → Dôveryhodné koreňové certifikačné autority

  (Pre dôveru na úrovni používateľa)

Certifikáty importované pomocou Sprievodcu importom certifikátov systému Windows do týchto umiestnení (vrátane prostredníctvom skupinovej politiky) sú dôveryhodné pre prehliadač Google Chrome.

Koreňové certifikáty, ktoré existujú iba v systéme Windows od tretej strany, nie sú automaticky dôveryhodné prehliadačom Chrome, pokiaľ nie sú explicitne importované podľa vyššie uvedeného postupu.

Mac OS – požadovaná konfigurácia dôveryhodnosti

Aby sa zabezpečilo, že prehliadač Google Chrome v systéme macOS dôveruje koreňovej certifikačnej autorite, musí byť do kľúčenky macOS pridaná koreňová certifikačná autorita IdenTrust Public Sector Root CA 1 a musí byť explicitne dôveryhodná:

1. Importujte certifikát do systémovej kľúčenky (odporúčané) alebo prihlasovacej kľúčenky

2. Otvorte certifikát a nastavte:

   • Pri použití tohto certifikátu: Vždy dôveruj

     (alebo minimálne SSL: Vždy dôveruj)

Keď je certifikát dôveryhodný na úrovni systému alebo používateľa, prehliadač Google Chrome ho bude považovať za dôveryhodný.

Správcovia môžu overiť, ktorým certifikátom platformy prehliadač Chrome dôveruje, tak, že prejdú na: chrome://certificate-manager/localcerts/platformcerts

Viac informácií nájdete v časti Často kladené otázky spoločnosti Google.

Integrácie tretích strán predstavujú primárnu oblasť vyžadujúcu overenie zákazníkom.

V prípade akýchkoľvek aplikácií alebo služieb tretích strán, ktoré nadväzujú pripojenia mTLS s aplikáciami UC pre vyhradené inštancie, musia zákazníci:

• Overte, či systém tretej strany dôveruje koreňovej certifikačnej autorite IdenTrust Public Sector 1.
• Ak sú potrebné aktualizácie úložiska dôveryhodných údajov alebo zmeny certifikačných autorít, spolupracujte priamo s dodávateľom tretej strany.

Zákazníci môžu overiť pripojenie a dôveryhodnosť novej verejnej koreňovej certifikačnej autority prístupom k nasledujúcemu testovaciemu certifikátu IdenTrust.

Ak sa tento certifikát úspešne otvorí bez upozornení na dôveryhodnosť, koreňová certifikačná autorita IdenTrust Public Sector Root CA 1 je už v prostredí dôveryhodná.

Ak máte otázky týkajúce sa tejto zmeny, pravidiel prehliadača Google Chrome alebo aktualizácií certifikátov vo vyhradenej inštancii, otvorte žiadosť o službu v aplikácii Control Hub v časti životný cyklus aplikácie UC.

Zákazníci služby UCM Cloud (UCMC), ktorí vlastnia svoju doménu a spravujú si vlastné obnovenia certifikátov aplikácií UC a ktorí nedelegovali spoločnosti Cisco oprávnenie domény na podpisovanie certifikátov aplikácií UC, budú zodpovední za priamu spoluprácu s vybranými verejnými certifikačnými autoritami pri riešení tejto zmeny.

Títo zákazníci by sa mali tiež riadiť príslušnými odporúčaniami pre produkty UC ( produkty Cisco pre lokálne volania a Cisco Expressway) týkajúcimi sa používania certifikátov a nápravných opatrení súvisiacich s nadchádzajúcimi zmenami politiky verejnej certifikačnej autority a prehliadača. Viac informácií nájdete v časti Úlohy a zodpovednosti.

Spoločnosť Cisco bude naďalej poskytovať aktualizácie, akonáhle bude k dispozícii podpora aplikácií UC pre samostatné certifikáty servera a klienta. Najnovšie aktualizácie nájdete v tomto dokumente.

Zmeny EKU certifikátu: Opatrenia, ktoré musia zákazníci Cisco On-premises Collaboration podniknúť TERAZ