Für Kunden, die von einem abgelaufenen Root-Cross-Signing-Zertifikat von Let’s Encrypt – einem der weltweit beliebtesten Aussteller von SSL/TLS-Zertifikaten – betroffen sind, ist jetzt ein Hotfix verfügbar.
Wer ist betroffen und wie?
3CX hat die Zertifikatskette mit Hilfe des beliebten Projekts certbot konfiguriert, das häufig auf Webservern verwendet wird, um Let’s Encrypt-Zertifikate zu beziehen und zu konfigurieren. Obwohl dies für Chrome, Firefox, neuere Android- und iOS-Geräte gut funktioniert, traten in einigen Fällen bei IoT-Geräten wie IP-Telefonen Kompatibilitätsprobleme auf.
Die Lösung besteht darin, das letzte Zertifikat in der Kette aus der Konfiguration zu entfernen. Dies kann zu Kompatibilitätsproblemen mit älteren Android-Geräten führen, insbesondere mit 7.1.1 oder älteren Versionen.
3CX aktualisiert die Zertifikate automatisch alle 90 Tage. Das bedeutet, dass Sie möglicherweise bereits über die aktualisierte Zertifikatskette verfügen. Ist dies nicht der Fall, kann es zu den folgenden Einschränkungen kommen:
• Das IP-Telefon lässt sich nicht (neu) einrichten.
• Das IP-Telefon lädt keine Telefonbucheinträge oder das Firmenlogo
• Das IP-Telefon kann keinen Hotdesk für eine neue Nebenstelle durchführen.
Bitte beachten Sie, dass IP-Telefone mit der neuesten Firmware-Version ausgestattet sein müssen, um mit der neuen Zertifikatskette von Let’s Encrypt kompatibel zu sein. In Vorbereitung darauf hat sich 3CX Mitte des Jahres mit allen von ihnen unterstützten Anbietern in Verbindung gesetzt, um das neue Zertifikat für aktiv unterstützte Geräte einzubinden. Wenn Sie nicht auf die neueste Firmware aktualisiert haben, müssen Sie die Firmware Ihres Geräts möglicherweise manuell aktualisieren.
Es ist erwähnenswert, dass Anrufe, der BLF-Betrieb oder die TLS-Verbindung zu SIP-Trunk-Anbietern zu keinem Zeitpunkt von dieser Zertifikatsänderung betroffen waren.
Wer sollte Maßnahmen ergreifen?
- Wenn Sie „Hosted by 3CX“ sind, haben Sie sich bereits darum gekümmert.
- Wenn Sie keine IP-Telefone verwenden oder keine der oben genannten Einschränkungen haben, können Sie hier aufhören. (Innerhalb der nächsten 90 Tage wird Ihr System die Zertifikate automatisch mit der neuen Zertifikatskette aktualisieren).
- Wenn Sie mit benutzerdefinierten Domänen arbeiten, müssen Sie die Auswirkungen prüfen und eine Lösung finden, die für Ihre Einrichtung geeignet ist.
- Wenn Sie derzeit mit einer der oben genannten Einschränkungen konfrontiert sind, installieren Sie den untenstehenden Hotfix. Die folgende Lösung gilt nur für von 3CX bereitgestellte FQDNs und Zertifikate.