ジェネシスクラウド
Genesys Cloud 証明書からクライアント認証 EKU サポートが削除されました

今後のリリースでは、Genesys Cloud は、BYOC Cloud SIP TLS エンドポイントで使用される証明書からクライアント認証拡張キー使用法 (EKU) を削除します。公的証明機関は業界全体でこの EKU を段階的に廃止しており、Genesys Cloud はこれらの更新された標準に準拠しています。

これまで、BYOC クラウドは相互 TLS (mTLS) またはクライアント証明書認証を使用していないにもかかわらず、BYOC クラウド証明書にはクライアント認証 EKU が含まれていました。標準のサーバー側 TLS は常にサポートされているモデルであり、安全な SIP 通信は引き続きそのアプローチに依存しています。未使用の EKU を削除すると、証明書の動作が実際のプラットフォームの使用と一致するようになり、構成の誤解が生じる可能性が減ります。

一部の顧客 SIP エンドポイントは、MTLS が BYOC クラウド接続モデルの一部になったことがないにもかかわらず、クライアント証明書を要求するように設定されている可能性があります。既存の証明書に EKU が含まれていたため、これらの構成は機能しているように見えました。証明書の内容を意図した TLS 動作に合わせると、今後の展開がサポートされているセキュリティ プラクティスに依存することが保証されます。

この更新により、BYOC Cloud は新しい証明機関の慣行に準拠し、TLS の動作がプラットフォームでサポートされているセキュリティ モデルを正確に反映するようになります。SIP エンドポイントがクライアント認証用に構成されていないことを確認した組織は、クライアント認証 EKU なしで証明書の更新が開始されてもスムーズに移行します。

何が変わるのか

• 2026 年 2 月以降に発行される証明書には、クライアント認証 EKU が含まれなくなります。
• BYOC クラウド SIP エンドポイントは、アウトバウンド TLS ハンドシェイク中にその EKU を含む証明書を提示しなくなります。
• クライアント認証を必要とするように構成された顧客エンドポイントは、証明書が更新されると TLS 接続を拒否する可能性があります。

変わらないもの

• BYOC Cloud はクライアント証明書を要求しないため、着信コールは影響を受けません。
• SIP TLS は設計どおりにサーバー側認証を使用して動作し続けます。
• Dynamic Voice Cloud Platform BYOC SIP エンドポイントはすでにこのモデルに準拠しており、影響を受けません。

必要な顧客アクション

現在の BYOC クラウド プラットフォームを使用しているお客様は、SIP エンドポイントが TLS ハンドシェイク中にクライアント証明書を要求しないようにする必要があります。

これを確認するには:

• 発信コールの TLS ハンドシェイクをキャプチャします。
• 顧客の SIP エンドポイントが証明書要求メッセージを送信していないことを確認します。

証明書要求が存在する場合は、エンドポイントでクライアント認証または相互 TLS が不要になるように構成を更新します。