Genesys Cloud
Authentification du client Prise en charge EKU supprimée du certificat Genesys Cloud
| Annoncé le | Date d’entrée en vigueur | L'idée d'Aha ! |
|---|---|---|
| 2025-12-15 | - | - |
Dans une prochaine version, Genesys Cloud supprimera le Client Authentication Extended Key Usage (EKU) des certificats utilisés par les terminaux BYOC Cloud SIP TLS. Les autorités de certification publiques éliminent progressivement cet EKU dans l'ensemble du secteur, et Genesys Cloud s'aligne sur ces normes actualisées.
Historiquement, les certificats de BYOC Cloud incluaient l'EKU d'authentification du client même si BYOC Cloud n'utilise pas de TLS mutuel (mTLS) ou d'authentification de certificat de client. Le modèle TLS standard côté serveur a toujours été pris en charge, et la communication SIP sécurisée continue de reposer sur cette approche. La suppression de l'EKU inutilisé permet de s'assurer que le comportement du certificat correspond à l'utilisation réelle de la plate-forme et réduit le risque de malentendus au niveau de la configuration.
Certains terminaux SIP de clients peuvent avoir été configurés pour demander des certificats clients même si MTLS n'a jamais fait partie du modèle de connexion BYOC Cloud. Ces configurations semblaient fonctionner parce que les certificats existants incluaient l'EKU. L'alignement du contenu des certificats sur le comportement TLS prévu permet de s'assurer que les déploiements s'appuient sur des pratiques de sécurité soutenues à l'avenir.
Cette mise à jour aligne BYOC Cloud sur les nouvelles pratiques des autorités de certification et garantit que le comportement de TLS reflète correctement le modèle de sécurité pris en charge par la plateforme. Les organisations qui confirment que leurs terminaux SIP ne sont pas configurés pour l'authentification du client effectueront une transition en douceur lorsque les certificats commenceront à être renouvelés sans l'EKU d'authentification du client.
Ce qui va changer
- Les certificats émis après février 2026 n'incluront plus l'unité d'authentification du client (Client Authentication EKU).
- Les terminaux SIP du BYOC Cloud ne présenteront plus de certificats contenant cet EKU lors des échanges TLS sortants.
- Les terminaux clients configurés pour exiger l'authentification du client peuvent rejeter les connexions TLS une fois les certificats renouvelés.
Ce qui ne changera pas
- Les appels entrants ne sont pas affectés car BYOC Cloud ne demande pas de certificats clients.
- Le protocole SIP TLS continue d'utiliser l'authentification côté serveur comme prévu.
- Les terminaux SIP BYOC de la Dynamic Voice Cloud Platform sont déjà alignés sur ce modèle et ne sont pas concernés.
Action requise de la part du client
Les clients qui utilisent la plateforme BYOC Cloud actuelle doivent s'assurer que leurs terminaux SIP ne demandent pas de certificat client pendant l'échange TLS.
Pour le vérifier :
- Capturez une poignée de main TLS pour un appel sortant.
- Confirmez que le terminal SIP du client n'envoie pas de message de demande de certificat.
Si une demande de certificat est présente, mettez à jour la configuration de manière à ce que le terminal ne nécessite pas d'authentification du client ou de TLS mutuel.
