Genesys Cloud
Die Unterstützung für die Clientauthentifizierung (EKU) wurde aus dem Genesys Cloud-Zertifikat entfernt.
| Angekündigt am | Datum des Inkrafttretens | Aha! Idee |
|---|---|---|
| 2025-12-15 | - | - |
In einer zukünftigen Version wird Genesys Cloud die Client Authentication Extended Key Usage (EKU) aus den Zertifikaten entfernen, die von BYOC Cloud SIP TLS-Endpunkten verwendet werden. Öffentliche Zertifizierungsstellen stellen diese EKU branchenweit schrittweise ein, und Genesys Cloud passt sich diesen aktualisierten Standards an.
Historisch gesehen enthielten BYOC Cloud-Zertifikate die Client Authentication EKU, obwohl BYOC Cloud weder Mutual TLS (mTLS) noch Clientzertifikatsauthentifizierung verwendet. Standardmäßiges serverseitiges TLS war schon immer das unterstützte Modell, und die sichere SIP-Kommunikation basiert weiterhin auf diesem Ansatz. Durch das Entfernen der nicht verwendeten EKU wird sichergestellt, dass das Zertifikatsverhalten der tatsächlichen Plattformnutzung entspricht und das Potenzial für Konfigurationsmissverständnisse verringert wird.
Bei einigen Kunden-SIP-Endpunkten wurde möglicherweise die Anforderung von Clientzertifikaten konfiguriert, obwohl MTLS nie Teil des BYOC-Cloud-Verbindungsmodells war. Diese Konfigurationen schienen zu funktionieren, da die vorhandenen Zertifikate die EKU enthielten. Die Abstimmung der Zertifikatsinhalte auf das beabsichtigte TLS-Verhalten trägt dazu bei, dass zukünftige Implementierungen auf unterstützten Sicherheitspraktiken basieren.
Dieses Update bringt BYOC Cloud in Einklang mit den neuen Zertifizierungsstellenpraktiken und stellt sicher, dass das TLS-Verhalten das unterstützte Sicherheitsmodell der Plattform genau widerspiegelt. Organisationen, die bestätigen, dass ihre SIP-Endpunkte nicht für die Clientauthentifizierung konfiguriert sind, werden einen reibungslosen Übergang erleben, wenn die Zertifikate ohne die Client Authentication EKU erneuert werden.
Was wird sich ändern?
- Zertifikate, die nach Februar 2026 ausgestellt werden, enthalten nicht mehr die Client Authentication EKU.
- BYOC Cloud SIP-Endpunkte werden während ausgehender TLS-Handshakes keine Zertifikate mehr vorlegen, die diese EKU enthalten.
- Kundenendpunkte, die so konfiguriert sind, dass sie eine Clientauthentifizierung erfordern, können TLS-Verbindungen nach der Zertifikatserneuerung ablehnen.
Was sich nicht ändern wird
- Eingehende Anrufe bleiben unberührt, da BYOC Cloud keine Clientzertifikate anfordert.
- SIP TLS funktioniert weiterhin wie vorgesehen mit serverseitiger Authentifizierung.
- Die BYOC SIP-Endpunkte der Dynamic Voice Cloud Platform sind bereits auf dieses Modell abgestimmt und daher nicht betroffen.
Erforderliche Kundenmaßnahmen
Kunden, die die aktuelle BYOC Cloud-Plattform nutzen, sollten sicherstellen, dass ihre SIP-Endpunkte während des TLS-Handshakes kein Clientzertifikat anfordern.
Um dies zu überprüfen:
- Erfassen Sie einen TLS-Handshake für einen ausgehenden Anruf.
- Prüfen Sie, ob der SIP-Endpunkt des Kunden keine Zertifikatsanforderungsnachricht sendet.
Falls eine Zertifikatsanforderung vorliegt, aktualisieren Sie die Konfiguration so, dass der Endpunkt keine Clientauthentifizierung oder gegenseitiges TLS erfordert.
