Genesys Cloud
Se ha eliminado el soporte EKU de autenticación de cliente del certificado de Genesys Cloud
| Anunciado el | Fecha efectiva | Idea |
|---|---|---|
| 2025-12-15 | - | - |
En una futura versión, Genesys Cloud eliminará el uso de clave extendida (EKU) de autenticación de cliente de los certificados utilizados por los puntos finales TLS de SIP de BYOC Cloud. Las autoridades de certificación pública están eliminando gradualmente este EKU en todo el sector, y Genesys Cloud se está alineando con estos estándares actualizados.
Históricamente, los certificados de BYOC Cloud incluían el EKU de autenticación de cliente a pesar de que BYOC Cloud no utiliza TLS mutuo (mTLS) ni autenticación de certificado de cliente. TLS estándar del lado del servidor siempre ha sido el modelo admitido, y la comunicación SIP segura sigue basándose en ese enfoque. La eliminación del EKU no utilizado ayuda a garantizar que el comportamiento del certificado coincide con el uso real de la plataforma y reduce la posibilidad de malentendidos en la configuración.
Algunos terminales SIP de clientes pueden haber sido configurados para solicitar certificados de cliente a pesar de que MTLS nunca ha formado parte del modelo de conexión de BYOC Cloud. Estas configuraciones parecían funcionar porque los certificados existentes incluían el EKU. Alinear el contenido del certificado con el comportamiento TLS previsto ayuda a garantizar que las implantaciones se basen en prácticas de seguridad compatibles en el futuro.
Esta actualización alinea BYOC Cloud con las nuevas prácticas de las autoridades de certificación y garantiza que el comportamiento de TLS refleje con precisión el modelo de seguridad admitido por la plataforma. Las organizaciones que confirmen que sus puntos finales SIP no están configurados para la autenticación de cliente realizarán la transición sin problemas cuando los certificados empiecen a renovarse sin el EKU de autenticación de cliente.
Qué cambiará
- Los certificados emitidos después de febrero de 2026 ya no incluirán el EKU de autenticación de cliente.
- Los extremos SIP de BYOC Cloud ya no presentarán certificados que contengan ese EKU durante los handshakes TLS salientes.
- Los puntos finales del cliente configurados para requerir la autenticación del cliente pueden rechazar las conexiones TLS una vez que se renueven los certificados.
Lo que no cambiará
- Las llamadas entrantes no se ven afectadas porque BYOC Cloud no solicita certificados de cliente.
- SIP TLS sigue funcionando utilizando la autenticación del lado del servidor tal y como se diseñó.
- Los puntos finales BYOC SIP de Dynamic Voice Cloud Platform ya están alineados con este modelo y no se ven afectados.
Acción requerida del cliente
Los clientes que utilicen la actual plataforma BYOC Cloud deben asegurarse de que sus terminales SIP no soliciten un certificado de cliente durante el protocolo TLS.
Para comprobarlo:
- Capturar un handshake TLS para una llamada saliente.
- Confirme que el punto final SIP del cliente no envía un mensaje de solicitud de certificado.
Si existe una solicitud de certificado, actualice la configuración para que el endpoint no requiera autenticación de cliente o TLS mutuo.
