- Domov
- /
- Članek
Hvala za povratne informacije.
Javne spremembe potrdila CA vplivajo na namenski primerek
V tem članku
Povratne informacije?Google Chrome uvaja veliko spremembo pravilnika glede razširjene uporabe ključev (EKU) v javno zaupanja vrednih SSL/TLS potrdila.
Obseg
S tem vas obveščamo o prihajajoči spremembi pravilnika brskalnika Google Chrome, ki vpliva na izdajo javnih potrdil TLS, in opisujemo ukrepe, ki jih bo Cisco sprejel za zagotovitev nadaljnje podpore za medsebojne povezave TLS (mTLS) v okoljih Cisco Webex Calling Dedicated Instance in UCM Cloud.
Sprememba pravilnika o potrdilih za Google Chrome
Od 1. februarja 2027 bodo javni overitelji potrdil (CA), vključeni v program zaupanja Google Chrome, prenehali podpisovati potrdila, ki vključujejo razširjeno uporabo ključa (EKU) za preverjanje pristnosti odjemalca (clientAuth).
Google bo od15. marca 2027 uveljavil pravilnik, ki bo od javnih korenskih overiteljev potrdil (CA) v korenski shrambi Chrome zahteval, da izdajajo potrdila, ki vsebujejo samo ključno kodo za preverjanje pristnosti strežnika (serverAuth). Posledično javni korenski overitelji potrdil v korenski shrambi Chrome ne bodo več smeli izdajati potrdil, ki v enem samem potrdilu združujejo EKU-je za preverjanje pristnosti strežnika in preverjanje pristnosti odjemalca.
Namenske instance aplikacij za uničeno komunikacijo – trenutno delovanje
Aplikacije za namensko uničeno komunikacijo (UC) trenutno uporabljajo potrdila, ki vključujejo EKU-je za preverjanje pristnosti strežnika in preverjanje pristnosti odjemalca v enem samem potrdilu, da vzpostavijo zaupanje za povezave mTLS. Podpora za ločena strežniška in odjemalska potrdila naj bi bila uvedena z izdajo aplikacije UC v15SU5, ki je načrtovana za pozneje v letu 2026.
Trenutno namenska instanca za podpisovanje teh potrdil uporablja IdenTrust Commercial Root CA 1, ki je del shrambe Google Chrome Root Store. Vendar pa zaradi prihajajoče spremembe pravilnika za Chrome ta overitelj potrdil od1. februarja2027 ne bo več smel izdajati potrdil, ki vsebujejo oba EKU-ja v enem potrdilu.
Ocena učinka
Prizadeta potrdila
Naslednja potrdila aplikacij za uničeno komunikacijo so podpisana z javnim korenskim overiteljem potrdil in se pogosto uporabljajo za povezave mTLS:
| Aplikacija za univerzalno komunikacijo | Vrsta potrdila | Pogoste povezave mTLS |
| Cisco Unified CM / mala in srednje velika podjetja | Maček / Tomcat-ECDSA | LDAP, Filebeat, Logstash, SIP OAuth prek MRA, oddaljeni sistemski dnevnik |
| Upravitelj klicev / CallManager-ECDSA | SIP Trunks, povezave med vozlišči in med gručami | |
| Cisco Unity Connection | Maček / Tomcat-ECDSA | SIP posredniški strežnik, SIP kanali |
| Cisco IM in prisotnost | Maček / Tomcat-ECDSA | — |
| skodelica / skodelica-ECDSA | Varen SIP s CUCM, odjemalci tretjih oseb, SIP proxy | |
| skodelica-xmpp / cup-xmpp-ECDSA | Federacija XMPP | |
| Cisco Emergency Responder | Maček / Tomcat-ECDSA | — |
| Hitra cesta Cisco | Potrdilo strežnika | Mobilni in oddaljeni dostop (MRA) |
Potrdila niso prizadeta
Vsa preostala potrdila v namenskem primerku so samopodpisana. Za dodatne informacije glejte Upravljanje namenskih potrdil primerkov.
Cisco je načrtoval sanacijo
Za obravnavo spremembe pravilnika za Chrome in ohranitev nemotenega delovanja mTLS bo Cisco sprejel naslednje ukrepe:
- Z učinkom od 1. junija2026bo Cisco za vse obnovitve potrdil zamenjal javnega korenskega overitelja potrdil, ki se uporablja za podpisovanje potrdil namenskih primerkov aplikacij UC, z IdenTrust Commercial Root CA 1 na IdenTrust Public Sector Root CA 1.
Postopek podaljšanja potrdila ostaja enak, center za opozorila Control Hub pa stranke obvesti prek opozorila »Vzdrževanje in izpad«, ko je podaljšanje načrtovano. Za več informacij glejte Opozorila o vzdrževanju.
- Potrdila bodo še naprej vključevala EKU-je za preverjanje pristnosti strežnika in odjemalca.
Zahtevana dejanja strank in partnerjev
Stranke in partnerji morajo za zagotovitev nadaljnje združljivosti storitev izvesti naslednje korake :
- Pregled trenutnih povezav mTLS
- Prepoznajte javna potrdila TLS, ki vključujejo EKU za preverjanje pristnosti odjemalca.
- Preverite, ali povezane aplikacije zaupajo novemu javnemu korenskemu potrdilu.
- Dodajte novega javnega korenskega overitelja potrdil (če je potrebno)
- Če IdenTrust Public Sector Root CA 1 v vašem okolju še ni zaupanja vreden, ga je treba dodati.
- Korensko potrdilo je mogoče prenesti iz javnega repozitorija IdenTrust.
Premisleki glede privzete shrambe zaupanja vrednih podatkov
Korenski overitelj potrdil IdenTrust Public Sector CA 1 je privzeto zaupanja vreden v standardnih shrambah zaupanja za naslednje operacijske sisteme in platforme:
- Microsoft Windows
- macOS
- iOS / iPadOS
- Android
Posledično za končne točke ali sisteme, ki na teh platformah uporabljajo privzete shrambe zaupanja, ni potrebno nobeno dejanje stranke, razen če je shramba zaupanja izrecno spremenjena ali omejena s pravilnikom stranke.
Opomba o trgovini zaupanja v Androidu
Korenski overitelj potrdil IdenTrust Public Sector CA 1 je vključen v shrambo overiteljev potrdil sistema Android in je v trenutno podprtih različicah Androida privzeto zaupanja vreden. Android ne ponuja javnega, za različico specifičnega preslikavanja za posamezne datume uvedbe korenskih potrdil. Zaupanje se upravlja prek trgovine CA sistema Android in distribuira prek posodobitev operacijskega sistema in posodobitev sistema Google Play.
Strankino dejanje ni potrebno, razen če je bila shramba zaupanja sistema Android izrecno spremenjena s pravilnikom naprave, kontrolniki za upravljanje podjetja ali omejitvami zaupanja, specifičnimi za aplikacijo.
Premisleki glede dostopa do brskalnika (Google Chrome)
Korenski overitelj potrdil IdenTrust Public Sector 1 ni vključen v shrambo korenskih podatkov Google Chrome.
Da bi zagotovili, da Google Chrome zaupa potrdilom, izdanim v okviru tega korenskega overitelja potrdil, morajo stranke zagotoviti, da je korensko potrdilo izrecno zaupanja vredno na ravni operacijskega sistema na lokacijah, ki jih Chrome uporablja za lokalne odločitve o zaupanju.
Windows – obvezna konfiguracija zaupanja
Da bi zagotovili, da Google Chrome v sistemu Windows zaupa korenskemu overitelju potrdil, je treba korenski overitelj potrdil IdenTrust Public Sector CA 1 uvoziti na eno od naslednjih lokacij:
-
Lokalni računalnik → Zaupanja vredni overitelji korenskih potrdil
(Priporočeno za sisteme, ki jih upravljajo podjetja)
ali
-
Trenutni uporabnik → Zaupanja vredni overitelji korenskih potrdil
(Za zaupanje na ravni uporabnika)
Potrdila, uvožena s čarovnikom za uvoz potrdil sistema Windows na ta mesta (vključno s pravilnikom skupine), so zaupanja vredna za Google Chrome.
Korenska potrdila, ki obstajajo samo v sistemu Windows tretje osebe, niso samodejno zaupanja vredna, razen če so izrecno uvožena, kot je opisano zgoraj.
Mac OS – zahtevana konfiguracija zaupanja
Da bi Google Chrome v sistemu macOS zaupal korenskemu overitelju potrdil, je treba v verigo ključev macOS dodati korenski overitelj potrdil IdenTrust Public Sector 1 in mu izrecno zaupati:
-
Uvozite potrdilo v sistemski verigo ključev (priporočeno) ali verigo ključev za prijavo
-
Odprite potrdilo in nastavite:
-
Pri uporabi tega potrdila: Vedno zaupaj
(ali vsaj SSL: Vedno zaupaj)
-
Ko je potrdilo zaupanja vredno na sistemski ali uporabniški ravni, ga bo Google Chrome obravnaval kot zaupanja vrednega.
Skrbniki lahko preverijo, katerim potrdilom platforme Chrome zaupa, tako da obiščejo: chrome://certificate-manager/localcerts/platformcerts
Za več informacij glejte Pogosta vprašanja o Googlu.
Premisleki glede integracije tretjih oseb
Integracije tretjih oseb predstavljajo glavno področje, ki zahteva potrditev strank.
Za vse aplikacije ali storitve tretjih oseb, ki vzpostavljajo povezave mTLS z aplikacijami namenske instance UC, morajo stranke:
- Preverite, ali sistem tretje osebe zaupa korenskemu overitelju potrdil IdenTrust Public Sector CA 1.
- Če so potrebne posodobitve shrambe zaupanja vrednih podatkov ali spremembe potrdil, sodelujte neposredno z zunanjim ponudnikom.
Spremembe shramb zaupanja tretjih oseb ali vedenja pri preverjanju potrdil so izven nadzora podjetja Cisco in Cisco ne more pomagati pri konfiguraciji zaupanja potrdil tretjih oseb.
Neobvezni validacijski test
Stranke lahko preverijo povezljivost in zaupanje za novega javnega korenskega overitelja potrdil z dostopom do naslednjega testnega potrdila IdenTrust.
Če se to potrdilo uspešno odpre brez opozoril o zaupanju, je korenski overitelj potrdil IdenTrust Public Sector CA 1 v okolju že zaupanja vreden.
Podpora
Če imate vprašanja glede te spremembe, pravilnika brskalnika Google Chrome ali posodobitev potrdil v namenskem primerku, odprite zahtevo za storitev v Control Hub v razdelku življenjski cikel aplikacije UC.
Dodatni premisleki za stranke UCM Cloud (UCMC)
Stranke storitve UCM Cloud (UCMC), ki so lastniki svoje domene in upravljajo lastne obnove potrdil aplikacij UC ter niso prenesle pooblastila domene na Cisco za podpisovanje potrdil aplikacij UC, bodo odgovorne za neposredno sodelovanje z izbranimi javnimi overitelji potrdil, da bi obravnavale to spremembo.
Te stranke se morajo ravnati tudi v skladu z ustreznimi priporočili za izdelke za uničeno komunikacijo ( Cisco lokalni klicni izdelki in Cisco Expressway) glede uporabe potrdil in odpravljanja težav, povezanih s prihajajočimi spremembami pravilnikov javnih potrdil in brskalnika. Za več informacij glejte Vloge in odgovornosti.
Cisco bo še naprej zagotavljal posodobitve, ko bo na voljo podpora za aplikacije UC za ločena strežniška in odjemalska potrdila. Za najnovejše posodobitve glejte ta dokument.
